2006年12月31日日曜日

謹賀新年

kagami_mochi.gif


謹んで新年の御祝詞を申し上げます。
皆様におかれましては幸多き一年でありますよう、心からお祈り申し上げます。

平成十九年 元旦

年を経るに従って、一年の経過が早くなる、これは皆様も同じでしょうか。情報セキュリティを取り巻く状況も年々刻々と変化しています。本年の傾向を予測することは難しいですが、今年も肩肘張らずに、自分の意見の発信をしていこうと思います。では、今年も宜しくお願いします。
MASUDA

2006年12月23日土曜日

昨日、日産自動車から過去最大規模の情報漏洩があったと報道されました。この漏洩事故が、今後どのように展開していくか、注視していく必要がありますね。個人情報、漏洩させないことが、その対策の主眼でしたが、別の観点からの施策が必要になってきた気がします。

以下は、2006年12月22日の産経新聞Webからの引用です。

日産の顧客情報流出 DMで注意喚起へ
顧客情報が流出し、記者会見で頭を下げる日産自動車の戸井田和彦常務(中央)ら=21日午後、東京都中央区の日産自動車本社
 日産自動車は21日、顧客情報が社外に流出した可能性があると発表した。名前や性別、住所、所有車情報などで流出した顧客数は不明。過去に使用していたデータベースから流出した可能性があるため、このデータベースで管理していた約538万の顧客全員にダイレクトメールを送り、注意喚起を図る。
 同社によると、今年10月末に発売された週刊誌に顧客情報流出の記事が掲載されたことを受け、社内調査を開始。記事中に社内のみで使用している車種記号が記載されていることなどにより、平成15年4月から17年12月まで使っていた旧データベースから情報が流出した可能性があると判断した。
 データベースを利用できる社員は業務委託先の従業員を含め11人。聞き取り調査も進めたが、委託先を辞め、連絡が取れない人もいるという。日産は警視庁に被害について相談、流出の経緯などをさらに調べる。
 週刊誌の報道を受け、これまでに問い合わせが10件あり、うち3件は架空の請求書が届いたとしている。


一年前まで使用していたDBからの漏洩したいうこと。DBの利用者を11人に限定してので、情報の漏洩に関して全くの無策であった訳ではなさそうです。とう言うか、need-to-knowの原則に従い、良く考えられていたと言えるのかもしれません。しかし、権限が認められている担当者が漏洩に関与したならば、これを防ぐことは出来ません。
そこで、漏洩をさせない対策も引き続き大切ですが、漏洩してしまった場合に、情報主体者のリスクを軽減する施策も考えるべきかと考えています。
個人情報の漏洩が絶えないのは、個人情報に金銭的価値があるからねですね。
DATA     - 情報が無秩序に集められている状態
Information - DATAが整理された状態
Intelligence - Informationに付加価値がついた状態

上記は、私が過去にあるセミナーで聞いた情報の分類で、非常に感銘をうけました。個人情報が漏洩するのは、氏名や住所だけでなく、家族構成や収入、口座番号、クレジット番号などが集約された状態で保存され、まさにIntellienceだからですね。そこで、個人情報法を保存する際に、Intelligenceから一旦、DATAの状態の戻してしまい、バラバラに保存し、一部が漏洩しても利用価値が低く、悪用されないようにすること、つまり情報を分散保存することも考慮すべきかと考えています。
例えば、個人情報の氏名、住所(住所も都道府県、市町村、番地を分割)、電話番号、その他の属性情報、付帯情報など分割し、IntelligenceからDATAの状態に戻して別個に保存するのです。それも、Diskを物理的にも分離する、サーバーを別にすることも考慮します。そうすれば、個々の情報が漏洩しても、殆ど無価値に近く、悪用されるリスクも軽減できます。分割された全ての情報を盗み出し、それを繋ぎ合わせるのは不可能でなくとも困難であることは確かでしょう。リスクをゼロにすることはできないにしても、近づける努力が必要です。
ITとは、ひたすら合理化省力化効率化を目的としてきました。この分散管理は、少なくとも効率化には反することです。しかし、個人情報jの漏洩によって生じるリスクとのバランスで考えれば、効率を犠牲しても考慮するに値すると、私は考えています。
漏洩防止対策、今後も必用ですし、改善の努力は継続しなければなりません。しかし、それだけでなく、漏洩してしまった場合のリスクを極小化する対策も必用ではないでしょうか。
諸賢のご意見を寄せて頂きたく思います。
 

2006年12月18日月曜日

通信技術衛星打上成功

本日、種子島の射場からH2Aロケット11号機が打上げられ、無事に成功したと報道されました。携帯電話を取り巻く環境に変化をもたらす可能性がありますね。

以下は、朝日新聞Webからの引用です。

H2A11号機、打ち上げ成功 通信技術試験衛星を分離
2006年12月18日16時08分
 技術試験衛星「きく8号」を載せたH2Aロケット11号機が18日午後3時32分、鹿児島県・種子島の宇宙航空研究開発機構種子島宇宙センターから打ち上げられた。H2Aの打ち上げは今年4回目。
��2A11号機が打ち上げられた=18日午後3時32分、鹿児島県種子島の種子島宇宙センターで 
打ち上げに成功したH2A11号機=18日午後3時33分、鹿児島県南種子町で
 ロケットは約27分後に高さ約280キロで衛星を分離、打ち上げは成功した。衛星は約2週間かけて、日本上空をカバーする赤道上の静止軌道(高さ3万6000キロ)に移る予定だ。
 今回のH2Aは、重さ5.8トンと重い衛星を搭載するため、これまで2本だった大型固体補助ロケットを4本備えたタイプを初めて採用した。当初、16日に打ち上げる予定だったが、天候不良で延期していた。
 「きく8号」は、宇宙を介した通信技術を開発するための衛星で、日本の人工衛星としては最も重い。幅17~19メートルの大型アンテナを2枚搭載、感度を高めて小型の携帯端末による通話や通信の可能性を探る。折りたたまれているアンテナを、7日後に軌道上で広げることになっている。


携帯端末というのが、どの程度のなのかはっきりしませんが、現在の携帯電話の将来世代での活用を狙っているような感じです。携帯電話の多機能化、止まる事をしらない勢いですが・・・・
メールにインターネット、クレジット機能、スイカに国際通話。あの小さな通信装置がこれほどになろうとは誰が想像したでしょうか。
しかし、私個人はこれでいいのかと思ってます。余りにも多機能で、紛失したり盗難にあった時のリスク、とてつもなく大きて、無条件に賛成じゃないですね。昨日、とある量販店に行ったついでに、最新の携帯電話を見てきたのですが、多機能なものと簡単携帯の両極端。そろそろ、自分の携帯電話のバッテリーがへたってきた私としては、その中間くらいの機能で、カメラ無しがいいのですがね。
これで、H2Aロケットも5回連続成功、しかも今回は最重量の衛星です。一定の信用が得られつつあるのでしょうね。衛星打ち上げビジネス、後はコストが課題です。来春に迫った、三菱重工への事業移管。民間のコスト管理とビジネス能力が試されます。
衛星自体も日本が得意の遠隔コントロール、自律機能技術がテンコ盛りという感じです。有人宇宙飛行技術とは違った、日本の高度な宇宙開発技術の成果です。軍事に転用が可能な技術でもあり、日本の宇宙の平和利用への理解を広めることが、また重要になってきましたね。
兎にも角にも目出度きことです。この後の、衛星技術の試験、成功に終わらん事を願っております。

2006年12月13日水曜日

winny 開発者に有罪判決

このところ、興味深い判決が続き、お蔭様でこのBlogを更新するモチベーションが上がっています。
今日は、あのWinnyの開発者が問われた著作権法違反事犯の判決がでました。大方の予想通りの判決と反応でした。

以下は、2006年12月13日の産経新聞Webからの引用です。

ウィニー開発、元東大助手に罰金150万
 ファイル交換ソフト「ウィニー」を開発し、ゲームや映画ソフトの違法コピーを容易にしたとして、著作権法違反幇助(ほうじょ)の罪に問われた元東大助手、K被告(36)に、京都地裁(氷室真裁判長)は13日、罰金150万円(求刑懲役1年)の判決を言い渡した。
 最大の焦点はソフト開発の意図で、検察側は「著作権侵害を企図した確信犯」と指摘。金子被告側は「新技術の検証にすぎない」として無罪を主張していた。
 ファイル交換ソフト利用者の違法行為で、開発者の刑事責任を認めたのは初めて。ソフト開発の現場に大きな影響を与えそうだ。
 起訴状などによると、K被告は平成14年5月、ウィニーをホームページ上で公開。群馬県高崎市の男性店員ら2人=有罪判決が確定=が15年9月、映画などを違法にダウンロードできる状態にするのを助けた。
 検察側は、インターネット掲示板への書き込みなどからK被告が著作権侵害への利用を意図して開発したと認定。「現在の著作権保護システムを根本的に破壊するため開発、公開して不特定多数の者にダウンロードさせ、違法コピーの横行を助長した」と批判した。
 一方、弁護側は、被告がホームページなどで違法な利用をしないよう呼び掛けたことなどを挙げ「違法行為を助長する意図も、悪用した者と意を通じたこともない。開発者が共犯として処罰されれば、技術者を萎縮(いしゅく)させる」と反論している。
(2006/12/13 10:26)
有罪の「天才」にネットで広がる批判と支持
「時代動いているのに」
 「こうしている間にも時代は動いている…」。ファイル交換ソフト「ウィニー」を開発したとして、著作権法違反幇助の罪に問われた元東京大大学院助手、K被告(36)被告は13日、京都地裁の判決公判後に記者会見し、自らの立場を強調した。防衛機密や捜査情報の流出が絶えず、社会問題化したウィニー。ネット社会に“革命”をもたらした天才プログラマーに、司法は有罪判決を下した。
 K被告はこの日、黒いスーツにネクタイ姿で約10人の弁護団を従えて法廷に立った。判決が宣告された直後、傍聴席からは報道陣や支援者が次々と退席。弁護側の主張を退ける理由が読み上げられると、金子被告は首を傾けて納得のいかない様子を見せた。
 閉廷後、開かれた記者会見では用意した文面を淡々と読み上げ、「ウィニーは、将来的に有用な技術であって、将来、その技術は評価していただけると信じている」と強調。その上で、「有用な技術開発を止めてしまう結果になることが何よりも残念。こうしている間にも時代は動いているにもかかわらず。控訴して、技術開発のあり方を世に問うて行きたいと思います」と訴えた。
 さらに、「違法行為をしてはいけないと注意してきた。ではどうすればよかったのか聞かせてほしい」と語気を強め、「(著作権侵害が横行する)結果が悪いから、悪いというのは納得できない」。
 同席した弁護士も「判決では著作権侵害を蔓延(まんえん)させる積極的な意図を明確に否定したが、有罪は解せない」とした上で、「玉虫色の判決だ。控訴して無罪を勝ち取る」と言い切った。
掲示板に批判と支持
 インターネットの世界で爆発的に広がったウィニーに対するユーザーの関心は高く、掲示板サイト「2ちゃんねる」には、判決日が近づくにつれて関連した書き込みが続出。「包丁をつくった職人も捕まるのか」「殺人をすると言っている奴に包丁を渡すのは問題」「核ミサイルはつくること自体が禁止」などと、K被告への支持と批判が乱れ飛んだ。
 判決の出たこの日は、同地裁の駐車場で、62枚の傍聴券を求めて208人が列に並んだ。大阪府富田林市から傍聴に訪れた会社員、片本亜希さん(25)は「ソフトそのものは非常に便利で、違法な使い方をする人がいるから問題になる」。京都府八幡市の男性会社員(35)は「仕事で著作権を扱っているので、注目していた。ウィニーによる被害は大きいと思っていた」と話した。
 有罪判決が宣告されると、支援者が同地裁内で「不当判決」と書かれた紙を掲げた。支援者の新井俊一さん(28)は「(この判決によって)ソフト開発者を萎縮(いしゅく)させるだろう。映像や音楽の分野で日本は後れをとることになり、残念だ」。
 傍聴に訪れた京都市南区の無職女性(29)は「有罪判決はソフト開発の環境にとっては良くないが、これだけ情報流出の被害が出ているので無罪もおかしい気がする」と困惑の表情だった。
 判決が告げられた10分後には、「2ちゃんねる」上に「有罪」と書き込まれた。約1時間後に書き込みは1000件を突破した。                

知識の意義 説明する責任
 インターネット総合研究所の藤原洋所長の話 「科学者、技術者には結果責任がある。経済的損失を補うことではなく、知識人として、知識の意義を説明する責任だ。ウィニーについて、分散したデータが自由に交換され、相互接続したネットワークが1つのコンピューターとして機能する点は国際的にも意義のある成果と評価する。だが、著作物が自由に交換され、著作権が守られないという社会的悪影響があった。金子被告はこれをしっかりと説明、注意喚起すべきだった。公害のように技術革新には、ひずみが生じるものだ。判決を機に、新しい研究開発を促進するなかで、知識人としての倫理が呼び起こされることを望む」

K被告語録
 ウィニーの開発者、K被告の発言を振り返った。
 「暇なんで(使いやすい)ファイル共有ソフトつーのを作ってみるわ。少し待ちなー」(平成14年4月1日、インターネット掲示板で開発宣言)
 「悪貨は良貨を駆逐するっていうのはいつの時代でもそうで悪用できるソフトは宣伝しないでも簡単に広まるね」(8月23日、姉へのメール)
 「著作物を勝手に流通させるのは違法ですので、そこを踏み外さない範囲でテスト参加をお願いします」(10月3日、掲示板の書き込み)
 「ソフト開発が犯罪の幇助(ほうじよ)に当たるという間違った前例がつくられてしまえば、日本のソフト開発者の大きな足かせになる」(16年9月1日の初公判)
 「雑誌で悪用を勧めるような記事があり予想外だった」(18年5月1日の公判での被告人質問)
 「新しい技術を生み、表に出していくことこそがわたしの技術者としての自己表現」(9月4日の最終意見陳述)「ウィニーは将来的には評価される技術だと信じている。今は新しいアイデアを思いついても形にすることすらできない。それが残念」(同)
(2006/12/13 17:03)


引用が長くなりましたが、判決と反応双方に興味があったので、敢えて長文の引用をしました。ご容赦下さい。
私は、記事にもあるように、Winnyによってデータ共有され、自由に交換できることは意義あることと、最初は思っていました。しかし、著作権の侵害を引き起こしたことは想像外で、おそらく開発者も最初から意図したことではないような気がします。しかし、報道された開発者のその後の言動が著作権を軽んじているような気配があり、また講演の中で侵害行為を公開するということでは、逮捕も致し方ないと思っています。
この事件で、Winnyによる情報漏えいの被害も深刻ですが、著作権に対して、それを軽視、もしくは無視するような言論が見られたこと、これも又深刻であるという気がしています。おりしも著作権保護期間の延長問題で、賛否両論が起こっています。この機会に著作権について議論深めることも有益と思います。
私の友人にカメラマンがいます。報道カメラマン志望と言うことなのですが、本人曰く「食うために」ということで、雑誌のグラビア撮影などをこなしています。彼は、写真の著作権は必ず押さえておくということです。そうでないと、自分の撮影した写真が流用され、自分のみならず他のカメラマンも仕事が少なくなってしまうからだそうです。昔は、著作権の意識が低く、高名な写真家でないと主張できなかったようです。そして、無名のカメラマンは自分の作品が流用されても著作権料も貰えず、という時期もあったようです。創造的な仕事をしていくためには、その成果に一定の保護を掛けるのは当然だと思います。
今回の事件では、開発行為そのものを罰した訳ではありません(と私は理解しています)。結果としての著作権の侵害が争点であり、開発という行為が萎縮することはないだろうし、萎縮などしてはいけません。ただ、保護すべき権利を蔑ろにしてはいけないということだろうと思ってます。皆さんは、如何様にお考えでしょうか。
丸山さんのblogにトラックバックしておきます。まあ、私も特殊は事犯だと思います。
では

2006年12月12日火曜日

住基ネット裁判 高裁の判決が割れました

住基ネットに対しての住民訴訟で、前回の大阪高裁に続き名古屋高裁でも判決がでました。しかし・・・・

以下は、産経新聞Webからの引用です。

住民基本台帳ネットワーク(住基ネット)の運用はプライバシー権を侵害し違憲などとして、石川県の住民28人が県などに個人情報の削除などを求めた訴訟の控訴審判決で、名古屋高裁金沢支部の長門栄吉裁判長は11日、「住基ネットはプライバシー権を侵害するものではなく、憲法13条に違反しない」として、個人情報の削除を命じた1審の金沢地裁判決を取り消し、住民側の請求を棄却した。
 住民側は上告する方針。
 住基ネット訴訟では昨年5月、金沢地裁が初めて違憲と認め、大阪高裁も先月30日、違憲判決を出したが、ほかは住民側が敗訴。大阪高裁判決を受けて、大阪府箕面市は7日、上告断念を表明していた。
 長門裁判長は判決理由で、住基ネットで扱う氏名、住所、生年月日、性別、住民票コードなど本人確認情報は、個人の人格的自律や人格的生存に直接関係するものではないと指摘。 「公権力が正当な理由に基づき、本人確認情報を収集、管理、利用することは『公共の福祉』による制限として許される」とした。
 住基ネットによる利便性よりも自分のプライバシーの保護を望む住民についても、住基ネット導入の正当性は否定されないとした。
 住民側が主張した本人確認情報を利用した名寄せなどの危険性に、長門裁判長は「具体的危険性はない」と判断した。
 控訴審で、住民側は「自分の情報の開示を自分で決める権利(自己情報コントロール権)も憲法13条で保障されたプライバシー権に含まれる」とし「住民票コードを使って簡単に個人情報の検索、名寄せがされる」と主張。県などは「住基法などで目的外の利用を禁止しており、対策は十分」と反論した。
 住民側は1審で、個人情報の削除と国や県などに1人当たり22万円の損害賠償を請求。金沢地裁判決は「自己のプライバシーの権利を放棄せず、住基ネットからの離脱を求める住民への適用は憲法13条に違反する」と認め、賠償請求は棄却。県などが控訴した。


前回の大阪高裁は、行政側の逆転敗訴ですが、今回は住民側の逆転敗訴、憲法判断も全く逆で合憲とされました。これは、由々しき事態ですね。同じ制度に対して、二つの全く異なる判決、憲法判断。この裁判では、住民は上告する方針だそうです。大阪高裁の判決の時には、行政側が断然上告すると思っていたのですが、箕面市長さんは上告しない方針だそうです。しかし、個人的見解ではやはり上告すべきであったと思います。選挙の公約に従ったといことですが、もし最高裁で合憲の判断がでた場合は、どうなるのでしょうか。地裁高裁で判断が割れている以上、上告し最高裁の判断を待っても公約違反とは言えない気がします。
今回の原告は、上告するとのことなので、最高裁が判断を下すことになります。ここでは、住民基本台帳ネットワークの議論が深められ、その上で国民に対する説明責任が果たされることを期待します。
私自身の考えは、リスクがゼロには出来ない以上、リスクと便益が明らかになり、便益が上回れば反対する理由はないと思います。ただ、住基カードを作成しましたが、便利だと思えたことがないのが実情ですが。
反対派の論調も今一つ同調できません。情緒的に反対するのではなく、明確な説明がなされた上で判断すべきことと思います。
最高裁の憲法判断、注目していこうと思います。

2006年12月10日日曜日

お疲れ様でした

昨日CISA/CISM試験を受験された皆様、4時間の長丁場お疲れ様でした。長い長い試験の後の一杯は如何でしたでしょうか。

年明けの1月か2月に試験結果が届くはずです。最近では、郵送でのレターの前に電子メールで合否が知らされるようです。
ISACAでは、合格者説明を実施しています。試験に合格しただけでは、CISA/CISMを名乗ることはできません。職務内容を申請して、認定して貰う必要があります。その手続きについて、合格者説明会でお話する予定です。英語で関係書類が送られてくるので、手続きに不安を覚える人もありますので、是非この説明会に出席して下さい。そして、その後の懇親会にも合わせて出席して、合格者の皆さんとの交流を持って頂くと、人脈の形成ともなります。私は、出席はしませんが、ISACA東京支部の担当理事が出席しますので、ISACA活動の説明も行います。これを機会にISACA活動にも参加して頂くことを期待してます。
では!

2006年12月3日日曜日

CISA/CISM試験、頑張って下さい

12月8日土曜日、本年の第2回目のCISA/CISM試験が実施されます。この度も多くの皆様が挑戦されることと思います。

何と言っても長丁場の試験です。集中力を維持も、万全の体調があってこそです。今まで暖かい日が続いていましたが、寒さも本番になるようです。試験が終わったの後の一杯を楽しみにして、風邪等ひかないようにご注意下さい。
以前に当Blogに掲載した受験対策、再掲します。
1 時間を区切る
見直しの時間を含めて、事前に時間を区切った計画をたてましょう。
私は、見直しの時間を一時間として、回答に4時間としました。
(私が受験した時は、250問5時間でした)
2 必ず回答する
  全て4択です。ブランクにすると0点、鉛筆倒しでも確率25%です。
必ず回答しましょう。鉛筆倒しで回答した問題は印を付けておきます。
3 長考しない
分からない問題に長考せず、取り敢えずの解答をして次の問題にかります。
この問題にも印を付けておきます。
4 問題をよく読む
  回答は必ずしも唯一の正解を求めるものではありません。
   最も適切なものを選択
   最も適切でないもの選択
  などなど、問題の内容を見極めましょう
5 見直し
全問回答後の見直しも重要です。2と3で保留した問題も考えましょう。
最初は分からなくても、全問をやると理解できるものもあります。
実際、見直しで分かった問題はありました。
以外に回答の選択間違いもあります。回答AなのにBにしていた何てのが。
見直しで、確実の何問かを拾えます。私は1回目の試験は駄目でした。
次の試験では、見直しをして何問かを拾いました。これで、合格。恐らく1回目の試験で見直しをしておけば、大丈夫であったと思います。
6 集中力
4時間集中力を維持するのは難しいです。私は、半分くらいのところで トイレに行きました。顔を洗い、うがいをし、深呼吸をして後半戦に望みました。リフレッシュも大事です。
7 飲み物、飴
飲み物や飴を持ち込み、途中で喉を潤し、糖分の補給で乗り切りました。
以上、経験談なのですが、受験者の皆様の参考になればいいのですが。
兎にも角にも頑張って下さい。

2006年12月1日金曜日

住民基本台帳ネット

最近、とんと影の薄かった感のある住民基本台帳ネットですが、住民票コードの削除と損害賠償を求めた裁判の控訴審判決がでました。
で、その判決ですが・・・

以下は、2006年12月1日の産経新聞Webからの引用です。

住基ネット一律適用は違憲 大阪高裁、プライバシー侵害認める
 住民基本台帳ネットワーク(住基ネット)運用でプライバシーを侵害されたとして、大阪府内の5市の住民16人が各市に損害賠償などを求めた訴訟の控訴審判決が30日、大阪高裁であった。竹中省吾裁判長は制度上の欠陥や危険性に言及し、「拒絶している市民への適用はプライバシー権を保障した憲法13条に違反する」と高裁レベルでは初の違憲判断を示した。その上で、箕面市など3市に住民4人の住民票コードを削除するよう命じた。賠償請求は認めなかった。
 住基ネット訴訟は13都道府県で各地方自治体を相手に起こされ、12地裁で判決が出ている。このうち石川県の住民が起こした訴訟で金沢地裁が昨年5月に違憲判断を示したが、高裁レベルでも同様の判決が出たことで住基ネットの運用や同種訴訟にも影響を与えそうだ。
 判決は、住基ネット運用の問題点として「目的外利用を中立的な立場から監視する第三者機関がない。制度に無視できない欠陥があり、プライバシー情報が本人の予期しない範囲で利用される危険が相当ある」u>と指摘した。
 原告は豊中、箕面、吹田、守口、八尾の5市の住民。勝訴した4人だけが削除を求めていた。
 平成16年2月の一審・大阪地裁判決は、全国民に割り振られた11けたの住民票コードについて「いつでも変更でき、一生使用し続けなければならないものではない」と指摘。「人格権やプライバシーに関する法的利益が侵害されたとは認められない」として請求を棄却した。


判決文を読んでいないので、正確な論評ではなく、単なる感想であることをご承知下さい。判決文では、’制度に無視できな欠陥がある’指摘しています。その上で、プライバシー情報が本人に予期しない範囲で利用される危険がるとしています。確かに、無視できない欠陥があれば、後段の不正な利用に結びつく危険があるというのは、論旨としてはすっきりしています。では、この’無視できない欠陥’とは一体何さしているのでしょうか。システム的な欠陥なのか、運用上の欠陥なのか、人間系の欠陥なのか。いずれにしても、そのような欠陥があるのであれば、住基ネットそのものの停止が必要なのではないでしょうか。おそらく、原告側が自らの住民票コードの削除と損害賠償しか求めなかったのでしょうね。
住基ネットに参加する自治体によって、ITや情報セキュリティに対する取組みや能力に差があることは事実でしょうし、そこにリスクが存在することも確かでしょう。しかし、そういったリスクが洗い出され評価されたことはありません。今回の控訴審判決で違憲判断になったことで、被告側は断然上告するでしょう。違憲判断を問うことであれば、上告理由になりますし、なんと言っても違憲判断を受け入れてしまえば、住基ネットのみならず、他の行政訴訟にも影響必至でしょうから。
そこで、最高裁に期待するのですが、是非ともこの訴訟を大法廷に送り、そこの審理で住基ネットに対するリスク評価をして頂きたいのです。その上で、そのリスクが住民にもたらす影響を判断するというのは、どうでしょうか。
住基ネット訴訟、提訴されたのは本件だけではありません。個々の訴訟の判決に右往左往するのでなく、住基ネットのリスク評価を行い、国民がその結果をもって判断できるようになればいいと思っています。
住基ネット、もう少し、皆で関心を持って見て往きたいですね。

2006年11月27日月曜日

文書化ということ

Security Eyeの原稿、初版を終えましたが、本日は帰宅後に見直しをしました。誤字脱字を改め、語調を整えたり、文書を練り直したりと一時間ほど所謂推敲というのをしておりました。そこで、文書化ということを考えてみました。

ISMSの認証取得でもJ-SOX法対応でも、現状のプロセスの文書化ということが言われます。この文書化とは単に文字に置き換えるということでなく、文書化という過程で論理化をすることだと思います。日本語は英語に比較し、非論理的とも言われますが、それでも言葉を文字置き換えるだけでは、文書化とは言えないでしょう。現状のプロセスの文書化する際に、そのプロセスが論理的でなければ、誰しもが読んで理解できる手続書にならない気がします。そして、そう言ったプロセスは見直しの対象とすべきなのだと思います。
例えば、正式な承認もなく、根拠も曖昧で、責任者も不明確なプロセスがあったとしたら、どうにも監査には耐えられるとは考えられません。そういったプロセスを正式な承認手順を定め、責任関係を明確にすることで、監査に耐えうるように論理的なものに改善されるのでないでしょうか。
文書化というのは、単に文字に置き換えるのでなく、論理化という濾過の過程を得て、不純物を取り除き行為なのではないかと思った次第です。文書化、それは改善の重要なステップですね。

2006年11月26日日曜日

Security Eyeの記事

日本情報セキュリティ協会の広報誌、Security Eyeの2007年1月号の記事の執筆を依頼されたことは、以前にも当Blogで取り上げました。原稿締切りは、11月30日です。

昨日、いつも週末に通っているスポーツクラブも休み、原稿の初版をようやく書上げました。本職の物下記の方々なら、取るに足らない文量なのですがね。ある程度の量の文章を全体の整合性を気を付けながら考えていくのは、骨の折れることでありました。しかし、自分の頭の中にあることを文章にすることで整理することができ、為になることでした。
やはり、文章力は大事だと実感しましたし、昨今の教育の在り方に関する議論でも国語力の充実が主張されていますが、最もであると思いました。
さて、肝心の記事の内容ですが、それはSecurity Eyeをお読み下さい。エンジニアとして、セキュリティのことに触れてから現在至るまで、頭の中に漠然としてあったことを纏めてみました。特に目新しいこではありません。新たな知見ということを期待されるとがっかりすると思います。間違った事は書いていないつもりですが、読後の感想ご意見などお寄せ頂くとありがたいです。

2006年11月19日日曜日

2006年11月18日は、ITGI-Japan設立記念カンファレンスでした。私もスタッフとして参加いたしました。基調講演と事例が2例と計3件の講演でした。スタッフでしたので、受付にいたりスクリーンの切り替え、PCの操作などしていたので、講演を落ち着いて聴ける状況ではなかったのですが、大いに勉強になりました。11月30日が締め切りのSecurity Eyeの記事の参考にもなりました。

SOX法への対応事例の中で参考になったなど幾つかピックアップしてみます。
⑴ 文書化が基本であり大事であること
⑵ 文書化してみると想定した以上の文書量なったこと
⑶ 当初の見積もった工数より超過したこと
⑷ ID管理やアクセスコントロールが重要であること
⑸ COSOやCobitのフレームワークを自社の状況に合わせてカスタマイズ
⑹ リスクの高い課題を優先的に
など等です。
特に⑷については、Security Eyeの記事で取り上げようと考えていたことと同じで、参考になると同時に十分の着眼点に間違いがなかったと安心しました。
(丸山さんが内容を要領よく纏められてBlogに掲載しているので参考にしてください)
丸山さんのblog
カンファレンス終了後、講師の方3名と奥様、ITGI-Jの松尾会長や運営スタッフの皆さんと打ち上げを行いました。そこで、サンマイクロシステムの下道さんと名刺を交換させていただきました。氏もBlogでこのカンファレンスのことを取り上げています。
下道さんのblog
その席で話したのですが、SOX対策ソリューションと銘打った製品宣伝がありますが、未だ実施基準さえ発表されず、何を持ってソリューションと言うのか実に不思議だなぁと、参加者共通の感想でした。
その他、在宅勤務のコントロール、行き過ぎた個人情報保護法対応、お笑いISMS認証支援裏話など、有意義でもあり可笑しくもありの楽しい時間でした。
しかし、この打ち上げ、共通言語が英語であり、また松尾会長はじめ、日本側参加者の皆さんも堪能で、英会話の苦手な私は端の方で日本語の会話に専念していたのでありました。。
このカンファレンスの発表資料は、スピーカーの同意をいただけた場合は、PDF化した上でITGI-JのHPに掲載、ダウンロード可能する予定です。ITGI-JのHPは準備中ですが、オープンしたらこのBlogでもお知らせしようと思います。
しかし、丸山さんも下道さんも会場で、Note PCを駆使して、カンファレンス中にblogにUP、実に素早い対応でした。更新が滞りがちな上にタイムリーではない私にはとても太刀打ちできません。脱帽です。とは言いながらも少しは見習わねばとは思った私でした。

2006年11月13日月曜日

ITGI Japan設立記念カンファレンスに参加します

以前、当Blogでも取り上げた11月18日に開催される日本ITガバナンス協会設立記念カンファレンスにスタッフとして参加することになりました。

カンファレンス運営は、イベントの開催支援などをする会社に依頼しているのですが、それ以外にISACA東京支部の理事/委員の有志によるボランティアも支援します。私も、当日の手伝いに志願させて頂きました。
当日は講演の間のPCの操作など担当します。講演の間にPCの操作をしているのが私です。チャンスがあれば、声などお掛けいただくと嬉しいかと。このような機会に人脈を広げるのも宜しいかとおもいます。
当日、多くの方にご挨拶できますことを楽しみにしています。では!
(本音では、これもCPEに計算できるのも嬉しいです)

2006年11月12日日曜日

私は情報システムコントロール協会(ISACA)東京支部の理事としての活動の他に日本セキュリティ監査協会(JASA)の幾つかのプロジェクトにも参加してきました。JASAは、情報セキュリティの啓発や最新情報の提供などを目的に広報誌「Security Eye」を年に3回発行しています。この度、そのSecurity Eye1月号に掲載する記事の執筆を依頼されました。

Security Eye
Security Eyeについては、その配布についてISACAでも協力しており、月例会などの機会で会員の皆様にお渡しています。
技術解説「J-SOX対応監査技術解説」というテーマでの帯連載(3回)の一環で、第1回がトーマツの丸山さん、第2回があらた監査法人の岸さんでお二人とも情報セキュリティやシステム監査の世界で活躍し著名です。そのような方々の後で最後になる3回目の記事の執筆で緊張しています。
所属の会社の許可を得られたので、原稿提出期限の11月30日まで頑張ってみます。資料集めなどで会社の協力を得ながら大いなる緊張と少しの楽しみと、慣れない原稿の執筆です。Security Eye1月号、拙い記事ですが、皆様にお読み頂けるよう頑張ります。

2006年10月31日火曜日

ソフトバンクモバイルのシステム障害

永らくご無沙汰しました。実は、諸般の事情があり、あえて当Blogの更新を控えていました。諸般の事情は何かというと、そこは明確に出来ないので、’諸般の事情’という表現しているということで、ご理解下さい。
ところで、携帯電話の番号ポータビリティ制度が始まりましたが、ソフトバンクモバイルのシステム障害が報道されています。本件に関して思うところを。

以下は、読売新聞の10月31日付社説からの引用です。

[ソフトバンク]「社内も混乱させた『極秘作戦』」
 携帯電話の料金を価格破壊しようとした志は買えるが、社内体制がお粗末だった。
 携帯電話会社を変えても、番号をそのまま引き継げる「番号持ち運び制度」が、開始早々、トラブルに見舞われている。
 業界3位のソフトバンクモバイルの事務処理システムが、多数の申し込みに対応できず、契約切り替え業務の停止に追い込まれた。
 窓口まで出向いたのに切り替えができず、週末の貴重な時間を無駄にした消費者も少なくない。ソフトバンクはシステムの拡充を急ぎ、顧客に迷惑をかけない社内体制を構築する必要がある。
 混乱のきっかけは、ソフトバンクが制度開始の前日に、「基本料が要るだけで自社間の通話とメールは通話料がゼロ」という「通話定額制」など、複数の新料金制度を発表したことだ。
 劇的な発表で宣伝効果を高めるため、この作戦は極秘とされた。代理店はおろかシステム担当など社内の大半も、計画を知らされていなかったという。
百貨店やスーパーは特売をする時に販売員を増強する。「画期的な低価格」と銘打って、新料金制度を導入する以上、ソフトバンクも計画の概要を、事前に担当者に伝え、それに応じた準備をさせておくべきだった。 以下略 


新料金体系の劇的効果を狙って、事前の準備が不十分であったというのが、この社説の論旨だと思いますが、私も同感です。
新しい料金体系、番号ポータビリティ制度。どちらも既存システムの大きな変更をもたらす制度改変です。事前の影響調査、システム変更管理、十分な受入れ試験などシステムとしての必要且つ十分な事前準備が必須ですね。しかし、システム担当も直前まで知らされていなかったようです。システム障害の原因が、いまだ不明というか明確ではないですが、ITマネジメント上の問題ははっきりと指摘できるように思われます。制度の変更に伴う、必要なシステム変更管理が適切に実施されなかったと推認されること、です。番号ポータビリティ制度に関しては、その発表から開始まで2年の期間があったので、この間はどうであったのしょうか? また、新しい料金制度の企画段階で、システムへの影響と対応についての検討はなされたのでしょうか。マーケティング上の効果が優先され、システムのみならず顧客サービスや社内業務への影響が軽視されたのでは、という疑問が拭いきれません。今後も、本件に関す報道を注視するとともに、ソフトバンクモバイルが説明責任を十分に果たすことが期待されますね。

2006年10月2日月曜日

ユーザIDの管理 - 日経新聞社元社員の初公判から

日本経済新聞社元社員のインサイダー取引事件の初公判が行われました。その記事で興味深い点がありました。

以下は、読売新聞のWebから日経新聞元社員の初公判に関する部分の引用です。

ライブドア公告に着目、日経元社員のインサイダー事件
 日本経済新聞社(東京都千代田区)の元社員によるインサイダー取引事件で、証券取引法違反の罪に問われた元同社広告局のH被告(31)の初公判が2日、東京地裁であった。
 罪状認否でH被告は、「間違いございません」と起訴事実を全面的に認めた。検察側は冒頭陳述で、社内の情報管理の甘さを指摘する一方、H被告が、ニッポン放送株の争奪戦をしていたライブドアが日経新聞に法定公告を掲載したことをきっかけに、不正な株取引を始めたことを明らかにした。
 冒頭陳述によると、日経では、広告主からの広告情報は独自の社内システムで管理し、H被告が所属していた金融広告部のIDやパスワードでは本来、担当業種に関する情報だけしか閲覧できないことになっていた。ところが、同部内では、法定公告を扱っていたIRグループのIDを使えば全業種の広告情報が閲覧できたため、金融広告部内でもそのIDを使う社員が多く、多くの部員がそれを同部用のIDと思い込んで使い続けていたという。 
 H被告は04年3月から株取引を始めたが、05年2月、ニッポン放送株の取得資金を調達するためにライブドアが社債発行の法定公告を日経新聞に出したことに着目。同年8月から、IRグループのIDを使って法定公告の申し込み内容を閲覧し、増資や株式分割などの情報に基づいて株の購入を始め、42件のインサイダー取引を繰り返した。
 H被告は、このうち5企業の株計9万4400株を計約2億4330万円で買い付けたとして起訴され、約2950万円の利益を得ていた。
 また、検察側は、H被告の供述調書の内容も明らかにした。法定公告を利用した取引について、H被告は、「安心してもうけられるし、利益も大きい。株取引で利益を上げることが男として格好いいと思った」などとし、インサイダー取引以外の取引も含めると、9000万円以上の利益を得ていたとも供述していた。
 日経新聞社長室の話「再発防止に全力で取り組む」
��2006年10月2日22時20分 読売新聞)


この事件に関しては、本Blogでも以前に取り上げました。引用文の太字下線部にあるように、本来特定の業務担当者のIDが結果として共有されてしまったのが事件の誘引したのですね。
ユーザIDは本人であることを確認する重要な符号です。また、PWは他人がユーザIDを不正に使用していないことを防ぐために本人以外に知らしめてはなたないものです。そのため、ユーザIDが担当者以外に共有されことは絶対に避けねばならず、そのルールは徹底される必要がります。
例え、同一の権限がある場合でも、複数の人間で同一IDを共有することは避けねばならず、一担当者に固有のユーザIDが原則ですね。部署で共有というのは論外でしょう。
本ケースは、個人の犯罪であり、組織的関与はないようですが、ユーザID管理の甘さが招いた一面は否定できません。日経新聞社以外でも教訓にすべき事件です、と私は思いました。

2006年9月30日土曜日

秋のイベント

今年も最後の四半期に入ろうとしていますね。食欲の秋、芸術の秋、スポーツの秋、そして様々なイベントの季節でもあります。
CISSPインストラクターの長谷川さんのBlogの情報セキュリティ関連のイベントが紹介されていましたので、早速トラックバックを・・・・

11月が近づいてきました。ということはISACA国際本部から次期年会費のInvoiceが送られてくるということです。年会費の支払いとともに今年のCPEの申請が必要です。年最低20CPE、3年間合計で120CPE、この数字をクリアできそうですか。
私は、CISAとCISM双方を保持しています。また、公認情報セキュリティ監査人補(CAIS)、ISMS審査員補の認定も受けているので、それぞれにポイントを累積していく必要があります。年末は、そのポイントの帳尻合わせに気を使います。
紹介されているイベント、CPEの対象となるかは各資格の認定団体の規定によりますが、CISA/CISMではいずれも申請可能です。しかし、企業主催のセミナーは年間10CPEまでと上限がありますので、気をつけて下さい。
全部もセミナーに参加するのは無理ですが、仕事に差し支えのない範囲で参加しようと思います。まあ、立場上ITGI Japan設立記念フォーラムは必須かな!
情報セキュリティプロフェッショナルをめざそう!
公認情報システム監査人継続教育方針
日本語CISM継続教育方針書
その他、ISACAのや各種団体の月例会や定例セミナーなどCPEの対象となりえるイベント、積極的に参加してポイントを稼いでいきましょう。
この時期、ISACAの月例会の参加者が増えてきます。
10月3日の英語セミナー、通訳はないのにも関わらず170名の申込みがありました。流石、国際的に認知された資格認定制度、英語に堪能な会員の多さに感心しております。
皆様、イベント会場でお会いできますことを!

2006年9月24日日曜日

この度、日本ITガバナンス協会(ITGI Japan)が設立されることになりました。その設立記念フォーラムが開催されます。

ITGI Japanは、シカゴに本部のあるIT Governance Institute (ITGI)の日本における支部のような性格ととして設立されます。ISACA 東京支部と国際本部との関係と同じと理解して良いと思います。ISACA国際本部がCISAやCISMの認定やプロモーション、各種文献の出版、システム監査、ITガバナンスなど情報セキュリティなど情報システムのコントロールに関連する活動を行っています。日本国内おいては東京/大阪/名古屋の各支部が支部会員向けのサービスや情報システムのコントロールの国内向け啓発活動などを行っています。
IT Governance Institute
ITGI JapanもシカゴのITGI本部の活動趣旨に沿い、国内におけるITガバナンスの啓発/普及/研究や関係者の交流などの活動を行います。
ITGIの最も重要な活動の一つはCOBITの開発と普及促進活動があります。日本においても、ISACA国内3支部がCOBITの普及促進活動を行ってきましたが、今後はITGI Japanと連携を取りながら、COBITの更なる普及促進活動に当たることになります。
ITGIは、元々はInformation System Audit and Control Foundation(ISACF、情報システムコントロール財団)であり、ISACAとは緊密な連携をとってきた組織でした。ITGIへの組織変更後もISACAとの関係は維持されています。そのITGIの日本における支部、拠点としてITGI Japanが設立されます。ISACA国内3支部もITGI Japan設立を支援しています。
そこで、ITGI Japan設立記念フォーラムの開催を協賛することとなりました。
日本ITガバナンス設立記念フォーラム
有料でありますが、早期申込みの割引、後援団体会員向け割引もあります。出来るだけ多くの皆様のご参加を頂ければ幸いです。私も職場の了解、経費支出が認められば参加いたしたいと思います。当日は、会場でご挨拶、お声がけをいただければいいですね。
では!

2006年9月20日水曜日

吉村昭著 「戦艦武蔵」から

作家の吉村昭氏がお亡くなりになりました。最後は、自ら点滴のチューブを引き抜き、尊厳死を選択されたと報道されています(医学関係者によると、それだけで直ちに死に至ることは考えられない。偶然ではとのことですが)。
私は、吉村氏の熱烈な読者という訳ではありませんは、氏の著作の何冊は読んでいます。緻密な取材に裏付けられた事実に基づく小説で、引き込まれるものがります。氏の死の報道のあとに「戦艦武蔵」を読んでみました。

「戦艦武蔵」は、吉村氏が初めて大きな文学賞を受賞し、作家としての大成のきっかけとなった作品です。読んでみて、情報セキュリティ上参考になることがありました。
�� 情報管理
現在では明らかな事実ですが、戦艦武蔵の建造は、その僚艦の大和ともに厳重に情報管理がなされ、極秘のうちに建造は進められました。両艦を攻撃し、撃沈させた米軍もその詳細については、戦後GHQによる海軍関係者への尋問や調査まで判らなかったとのことです。これは、その情報管理が徹底し、目的を達成したことの証しでしょう。
私の亡父は、昭和2年生まれ、終戦時は航空関係の工業専門学校の学生でしたが、たしか戦艦大和、武蔵については戦後に知ったと言っていた記憶があります。国外のみならず、国内に対しても徹底した情報秘匿が行われていたようです。
�� 建艦管理
戦艦武蔵は三菱重工長崎造船所で建造されました。建艦にあたっての管理は徹底され、武蔵の全体像/詳細を知っているのは、造船所の幹部と海軍からの監督官など数人で、後は設計に任る技師から作業員に至るまで、自分の担当/持ち場に関わる情報しか知らされていなかったとのことです。極端な話、武蔵の全長が何メートルかさせ、知っているの造船所幹部など数人しかいなかったそうです。
�� 設計図
設計図は、全部で31,308枚に及び、その全てが厳重に管理されていました。設計図は、その重要性により軍機、軍極秘、極秘、秘と分類され、軍機の設計図は、金庫で厳重管理、それ以下のは保管用の専用の部屋を設け、専任の担当者を任命、部屋への出入りや閲覧を徹底して管理を行ったようです。
ふーん、成る程なと思ったことの一部ですが、情報の秘匿ということでは、成功であったいうことですね。現在では、あれほどの巨大な建造物を米国の偵察衛星の監視を逃れて建造することは不可能に近いのでしょうが、設計図の管理など、参考になる事例ではないでしょうか。
追記
吉村氏の「海の史劇」、「ポーツマスの旗」などはお奨めです。

2006年9月18日月曜日

雇用者(経営者)の責任範囲? 飲酒運転事件の報道から考えること

福岡での、幼い三人の尊いが失われていらい、連日飲酒運転事故が報道されています。その発端は、冒頭に触れた福岡市役所職員の起こした事故です。福岡市長が報道メディアの前で謝罪を繰り返し、活字メディアには謝罪のコメントが掲載されていました。それを見、読みながら市長(雇用者、経営者、組織の長)は、職員(被雇用者、従業員、社員、組織の構成員)の不祥事に対して、どこまで責任を担うべきか、範囲はどこまでか考え込んでしまいました。

(私は、今回の福岡市役所の元職員の飲酒運転事故を庇う気は全くありません。現行の法制度の中で可能な限りの最も重い断罪が下されるべきとおもいます。また、危険運転致死罪を逃れるための轢き逃げが増加しているのが事実ならば、関連法の改正が急務と思っています。また、運転をすることを予測可能であるのにアルコールを提供する側の責任も重大であろうと思います。私の考えを前提として明確にしていおきます)

今回の事故は、休日に発生しました。容疑者は飲酒し一旦帰宅し、父親の乗用車を運転、スナックに行き、酩酊状態になあるほど飲酒、この悲惨で許しがたい事故を起こしたと報道されています。言語道断であり、犯人の年齢や過去に犯罪履歴はないこと、それまでの勤務態度が真面目であったことを考慮しても、厳しい判決は当然であろうと思います。
一連の報道で気になったこと申し上げます前にキーワードを提示します。
① 休日であったこと
② 自宅の車を運転していたこと
福岡市長は元職員の行為に対して謝罪の意を表明していました。しかし、市職員とは言え、休日の自宅の車を運転していて起こした事故に市長(雇用者、経営者)の責任はあるのでしょうか。市長の謝罪は絶対的に必要なのでしょうか。
市長は、選挙において民意により選ばれます。つまり政治家であるので、法的な責任の有無にとは別に、市民選挙民有権者に対する政治的判断もあるので、職員の不祥事、事故に対して謝罪を行うとの選択もあろうかとおもいます。このこと自体を良い悪いを言い募る気はありません。しかし、例えば市長の明白な謝罪表明が無くとも法的(私見では同義的にも)な責任が存在しない以上、責められる筋合いではないと思います。
もし、事故が公用車(社有者)を運転していたとか、車での通勤が認められ、勤務の帰りに起きたのであれば、市長(雇用者)の責任は問われてしかるべきとおもいます。
職員(従業員)の不祥事にどこまで雇用者が責任をとるべきか?
情報セキュリティ対策上も悩ましい問題であろうと思います。金曜日のよるに業務用PCを持ったまま直帰、土日は自宅で保管していたが盗難にあった。PC内には、個人情報が保存されており、そこのこと自体は職務上認めれていた・・・  個人情報の保管されたPCを自宅に持ち帰った行為が許されていた以上、雇用者の責任は免れないということでしょうか。最近は、このような判断に基づいてセキュリティ規約などが制定されているようですが、その法的、もしくは何らかの標準などの根拠はあるのでしょうか。
職員/従業員のプライバシーと業務の境で発生しうる不祥事への備え、コントロールとは如何にあるべきか。以前に当Blogで在宅勤務でのリスク対応をの話題を取り上げました。社員のプライバシーに踏み込むようなコントロールは適切と言えるか、どこまで許されるのか。
「自宅にPCを持ち帰ったら、施錠可能なロッカーの保管し、外出は避けること」と定めることは可能なのでしょうか。
今後も考えていかなければならない課題でありますね。従業員に対して、一切の飲酒を禁ずるなどということが現実的ではありませんから。
かと言って、無策でもいけない。
皆さんのご意見も教えて下さい。
では

2006年9月14日木曜日

組織内部のモラル

大分県の陸上自衛隊玖珠駐屯地から自動小銃と拳銃、それとそれぞれの弾倉が紛失したという報道がありました。どうも内部犯行の疑いが濃いようですが・・・

以下は、産経新聞Webからの引用です。

大分県玖珠(くす)町の陸上自衛隊玖珠駐屯地で小銃や拳銃が紛失した事件で、紛失が発覚する2日前の6日の業務終了時から、武器確認が行われていなかったことが13日、陸自の調査で分かった。陸自は内部犯行とみて、関与した可能性が強い隊員数人に絞り込み、事情聴取を行っている。
 陸自によると、武器確認は平日の朝夕に実施することになっている。紛失は8日に発覚したが、小銃は5日夕方、拳銃は6日朝の点検を最後に、以降、平日にもかかわらず確認されていなかったことが分かった。
 さらに、武器庫の鍵と、小銃や拳銃を保管する箱と棚の鍵は、別々の隊員が保管・所持する規則になっているにもかかわらず、両方の鍵を1人の隊員が所持。常時携帯しなければならないのに、事務室にある自分の机の無施錠の引き出しに入れっぱなしにしていた。
 ずさんな管理は常態化していたといい、規則に反した武器管理が浮き彫りになっている。
 玖珠駐屯地では第4戦車大隊本部管理中隊の武器庫で、8日午後3時ごろ、点検で64式小銃1丁、9ミリ拳銃1丁、拳銃用弾倉2個、双眼鏡1個、小銃用弾倉1個の紛失が確認された。
 拳銃、小銃の弾薬は別に保管されており、紛失していなかったが、重大事案として警察に通報。陸自でも大がかりに捜索しているが、まだ見つかっていない。陸自では内部犯行とみて、警務隊を中心に調査を続けている。


武器管理の規則上、平日の朝夕に実施することとなっていた武器庫の点検、別々に保管するはずの武器庫の棚と箱の鍵、これが双方とも遵守されていなかったこと、これ見過ごせません。現在のところ、この規約違反と紛失の因果関係は不明確ですが、無関係とは思えません。
外部からの侵入の形跡がないのであれば、当然内部の人間を疑わざるを得ません。何故ならば、出入りが厳重に管理されている自衛隊駐屯地内ですからね。
仮にそうであった場合、駐屯地内の自衛隊員のモラル、武器管理規則など内部諸規定の遵守意識や有効性/実施状況の監視など内部統制上の課題が問題となりますね。組織内の各構成員のモラルが適切に維持され、内部規則た県連法令が遵守されること、これは内部統制の基本であろうと思うからです。
紛失した小銃と拳銃の早期の発見、原因の究明とともに駐屯地内の内部統制の見直しが望まれるます。

サッカー界もPDCA?

皆様 長らくご無沙汰してしまいました。その間も当Blogにアクセスしていただいて、誠にありがとうございます。

久々にUpdateしますが、その話題は、とあるBlogのトラックバックです。

最近PDCAとい言葉を色々な場面で見聞きすることが増えていました。NHKの番組で大手商社のN元会長も、企業の不祥事防止に関する談話の中で、PDCAを取り上げていました。
トラックバックしたBlogは、サッカーに関係するコラムなのですが、現在のオシム監督の手法について触れていて、同監督をPDCAを利用する経営者タイプとしています。
PDCAという考え方、実際に適用し維持していくのは、決して簡単なことではないですが、ビジネス分野のみならず、様々な局面で応用可能なのかもしれませんね。特に結果がシビアに評価されるプロフェッショナルスポーツの正解では、実践可能なのかもしれません、と思った興味深いBlogでした。
URLです
http://blog.nikkansports.com/soccer/ichikawa/archives/2006/09/post_3.html#trackbacks

2006年8月28日月曜日

CISAかCISMか 究極の選択?

先週開催したISACA東京支部の月例会終了後、ある参加者の方から質問を受けました。それは、なんとも回答の難しいものでして・・・・

とある女性会員の方からの質問であったのですが、それはCISAかCISMかどちらを受験すべきかということでした。どちらがISMSに近いのとう問いもありまして。
私見ですがISMSを念頭におかれているのであれば、CISMだと思います。外部監査機関や審査機関での職務を考えているのであればCISAが良いのかとも思います。合格/認定後、たの資格などでの特典、例えば一部試験の免除などに有利なのはCISAです。
試験では、双方の試験を受けられないので、どちらかを選択することになります。私の公式的立場では、片方に合格したら残りを受験して下さい・・・です  
まあ、試験の申し込み際し選択しなければならないのですが、現在の職務やお立場、既に保持認定されている資格などを勘案してご判断いただくしかないと思います。例えば既にCISSPの認定を受けているのであれば、CISAにするとか。
このお問い合わせに関しては、定型的な回答はありません、というのが正直なところです。中途半端な回答で 重ねて 

2006年8月24日木曜日

先週報道されたいた太陽系の惑星が増えるとの話題、今週になってどんでん返しの展開になりそうです。

以下は、産経新聞Webからの引用です。

太陽系12惑星へ 新定義「自己重力で球形」提案
≪国際天文学連合総会 候補さらに12個≫
 太陽系の惑星が、これまでの9個から12個に増える可能性がでてきた。チェコのプラハで開催中の国際天文学連合(IAU)総会で16日、新たな惑星の定義の原案が示された。原案のまま承認されれば、冥王星の発見(1930年)以来、76年ぶりに太陽系の全体像が大きく書き換えられることになる。IAUは、24日に新定義を承認するかどうかを投票で決める予定だ。
 国立天文台によると新しい惑星の定義の柱は、「恒星を周回する天体で、自己の重力でほぼ球形になるもの」としており、直径800キロ以上が目安になる。この定義だと、火星と木星の間に位置する最大の小惑星「セレス」、冥王星の衛星とみなされてきた「カロン」、昨年夏に米航空宇宙局(NASA)が「第10惑星」と発表した「2003UB313」が、新たに惑星の仲間入りをする。
 しかし、近年は観測技術の進歩で太陽系の外縁部で次々に新たな天体が発見されており、3個の新惑星候補のほかにも、12個の天体が惑星に昇格する可能性があるという。
 惑星の定義をめぐる議論は、昨年7月に米国の研究チームとNASAが、冥王星より大きいことを理由に「2003UB313」を第10惑星と発表したことが直接のきっかけ。それ以前にも、直径が月の7割しかなく、公転軌道も他の惑星に比べて特異な冥王星を惑星とすることの妥当性が議論されてきた
 こうした経緯を踏まえて、原案では、(1)水星から海王星までの8個の惑星を「古典的惑星」とする(2)冥王星とカロン、「2003UB313」の3個は「プルートン(冥王星族)」と呼ぶ(3)セレスについては「矮(わい)惑星」と呼ぶ-ことを提案している。
 また、小惑星や彗星(すいせい)などと呼ばれている惑星より小さい天体についても「太陽系小天体」と総称することを提案した。
 これまで、科学的に明確な惑星の定義がなかったことが議論の根底にある。原案では明確さはあるが、惑星の中に「古典的」な8個とそれ以外の区別ができることになる。また、今後は新たな惑星候補が次々と見つかり、惑星の総数が収拾がつかないほど増える可能性も否定できない。
 24日の議決で、原案への反対意見や慎重論が多い場合には、3年後の次回総会に決着が持ち越される可能性もあるという。


元々、冥王星が他の8惑星と同じ扱いで正しいのかは、以前から議論の的だったんですね。冥王星は発見された当時は観測技術も未熟であり、冥王星の正確な軌道だとか大きさだとか組成などは良く分かったおらずに惑星と認定してしまったのが真相のようです。その後の観測技術の発達、惑星理論、惑星形成理論、太陽系形成理論などが発達してくる中で、冥王星が本当に惑星なのかという議論が起きてきたようです。
何故か? 惑星に関する定義がなかったからです。冥王星の軌道は、一部が海王星の内側に入り込んでいます。1979年から1999までは、最果ての惑星は海王星でした。このうような軌道は、同一の原始太陽系円盤から太陽と、その回りを周回する惑星が誕生したとする現在の太陽系形成理論では説明できません。
冥王星の組成は未だ未解明のことが多いのですが、水生金星地球火星の岩石惑星型、木星土星の巨大ガス惑星型、天王星海王星の巨大氷惑星型の中では、岩石惑星型に近いように思われますが、研究の余地があるようです。
惑星の定義を広めにして、冥王星を惑星としてしまう、その為他の天体も惑星にする、という少しばかり強引な手法が反論を招き、逆に冥王星を惑星の分類からはずすという厳密解釈が提案されてのですね。
物事の定義をどうするか、重要な課題です。そこには、学問的、科学的、論理的明解さこそが必要ですね。
混乱状態の占星術業界の皆様のためにも、一刻も早い決着が望まれます。 

2006年8月22日火曜日

CISA/CISM試験の結果

もう、既に6月のCISA/CISM試験の結果は受験者の皆様のお手元に届いていることと思いますが、12月の試験を受験される予定の方々は、これから受験準備の入ることと思います。

受験予定者の方から、よくどのように試験勉強をしたのか、聞かれます。そこで、軽く体験談を!

私の場合はCISAは試験で、CISMはグランドファザリングで特別認定されたので、CISA試験の体験ということになります。
まず第一にCISAレビューマニュアルを読み込むことをしました。1回、レビューマニュアルを読み通します。この時は、熟読するのではなく、全体をざっと目を通す感じです。2回目に要点に赤線を引いたり、不明な箇所に印を付けました。
レビューマニュアルの読み通しが終わったあとは、試験までひたすらに問題集に取り組みました。答合わせを行い、間違った問題番号を控えます。同じ問題集を2回、3回と繰り返しました。その度に間違った問題番号を控えます。そうすると、やはり同じ問題を間違える傾向にありましたね。そうした問題が、私のとっての苦手、知識経験上の弱点であり、また間違った思い込みをしている分野と理解しました。この傾向を押さえておくことが、実際の試験でも役に立ちました。
レビューマニュアルの読み込みや問題集は、平日帰宅後にしていました。土日や休日にやろうとしたのですが、結局挫折しました。子供の相手をしたり、本読みが趣味なので、読み掛けの本に目を通したりと、やはり生き抜きに使ってしまいました。そこで、土日休日は息抜きの日と割り切り、受験準備は平日帰宅後のみとしました。結果として、私にとってはそのほうが効果的であったと思います。仕事の緊張が持続していた方が良かったようです。
私の従兄弟に突然変異を起こし、都立高校から東京大学の理科へ進学した変人がおります(天下の東大に合格したのに、入学を辞退するとゴネて、家族親戚を困らせました)。その従兄弟と久し振りに会って、話をしたのですが、お互いに子供を持つ身、将来の子供たちの受験勉強の話になりました。そこで、東大受験にどんな勉強をしたのか聞いてみました。当人は、受験予備校などには通わず、自宅での勉強だけで合格していたのです。
当人曰く、日曜日は一切勉強しなかった、学校のある日だけとのことでした(当時は、週休二日でなく、土曜日は半ドンでしたからね)。日曜日は、遊んだり本を読んだりと、息抜きにあてていたようです。やはり、学校に行かない日は、勉強をする気にならなかったと言っておりました。その代わり、学校に行った日は、午後11時までは机に向かい、11PMを見て、床に就くとうことはしっかり行っていたようです。
東大受験とCISA/CISM試験、一緒にしていいか分かりませんが、自分のリズムに合わせていくことは大事かと思います。土日休日に息抜きをしましょうと、決め付けることしませんが、平日も休日もと張り切り過ぎないことも重要かと思います。要は継続させることが大事なのですから。
過去に、ANJOのCISA受験対策講座の講師を務めたさいに使った資料を使って、このBlogで私流受験対策術を数回に分けて掲載していこうと思います。多少でもCISA/CISM受験者の皆様のお役立てればと思います。

2006年8月17日木曜日

太陽系の惑星が12個へ

残暑厳しい日が続きますが、皆様健やかにお過ごしでしょうか。私は、グロッキー寸前です。この2週間、ご無沙汰でしたが、母親の実家に行ったりと家を空けていたのもあったのですが、夏バテでPCの前に座ることも少なかったのも理由です。
ところで、本日の新聞各紙で太陽系の惑星が9個から12個へとの記事が掲載されていました。

以下は、産経新聞Webからの引用です・

太陽系12惑星へ 新定義「自己重力で球形」提案
≪国際天文学連合総会 候補さらに12個≫
 太陽系の惑星が、これまでの9個から12個に増える可能性がでてきた。チェコのプラハで開催中の国際天文学連合(IAU)総会で16日、新たな惑星の定義の原案が示された。原案のまま承認されれば、冥王星の発見(1930年)以来、76年ぶりに太陽系の全体像が大きく書き換えられることになる。IAUは、24日に新定義を承認するかどうかを投票で決める予定だ。
 国立天文台によると新しい惑星の定義の柱は、「恒星を周回する天体で、自己の重力でほぼ球形になるもの」としており、直径800キロ以上が目安になる。この定義だと、火星と木星の間に位置する最大の小惑星「セレス」、冥王星の衛星とみなされてきた「カロン」、昨年夏に米航空宇宙局(NASA)が「第10惑星」と発表した「2003UB313」が、新たに惑星の仲間入りをする。
 しかし、近年は観測技術の進歩で太陽系の外縁部で次々に新たな天体が発見されており、3個の新惑星候補のほかにも、12個の天体が惑星に昇格する可能性があるという。
 惑星の定義をめぐる議論は、昨年7月に米国の研究チームとNASAが、冥王星より大きいことを理由に「2003UB313」を第10惑星と発表したことが直接のきっかけ。それ以前にも、直径が月の7割しかなく、公転軌道も他の惑星に比べて特異な冥王星を惑星とすることの妥当性が議論されてきた。
 こうした経緯を踏まえて、原案では、(1)水星から海王星までの8個の惑星を「古典的惑星」とする(2)冥王星とカロン、「2003UB313」の3個は「プルートン(冥王星族)」と呼ぶ(3)セレスについては「矮(わい)惑星」と呼ぶ-ことを提案している。
 また、小惑星や彗星(すいせい)などと呼ばれている惑星より小さい天体についても「太陽系小天体」と総称することを提案した。
 これまで、科学的に明確な惑星の定義がなかったことが議論の根底にある。原案では明確さはあるが、惑星の中に「古典的」な8個とそれ以外の区別ができることになる。また、今後は新たな惑星候補が次々と見つかり、惑星の総数が収拾がつかないほど増える可能性も否定できない。
 24日の議決で、原案への反対意見や慎重論が多い場合には、3年後の次回総会に決着が持ち越される可能性もあるという。
(08/17 01:19)


太陽系内の惑星の定義の変更が定義され、新定義によると既知の天体が惑星として追加定義されるとのことのようです。実は、記事にある「古典的定義」では、冥王星を惑星として扱う事に疑義がでていました。
冥王星が惑星ならば、新天体「2003UB313」も同様に扱う必要がある、しかし、現在の最新の天体探査から分かった事実から考えると冥王星は、他の8天体とは成り立ちが異なる、従って太陽系の惑星とはい難いと。他の8天体は、太陽の形成に伴って誕生、成長したようですが、冥王星は、その公転軌道からも物質構成からも別の歴史を歩んできたと考えられているからです。
そこで、太陽系内惑星の再定義が提案されたようです。この提案が議決されるか、予断を許さないようです。もし、この新定義が議決された場合、星占いなど現在の9惑星を基にしたものはどうなるのしょうか。
昔、惑星直列がおきると天変地異が起こるとかありましたよね(実際は、各惑星の公転面の傾きが異なり、直列することはないのですが)。
これからは、12惑星直列でしょうか。各記事によると、新定義では追加3天体以外にも候補の天体があようです。
定義の変更は、様々な影響が予想されます。それは、情報セキュリティの分野でも同様ですね。

2006年8月3日木曜日

住民基本台帳カードを取得しました

識者や評論家諸氏、情報セキュリティ業界で評判の芳しくない住民基本台帳カード、通称住基カード。業界の端くれの私も全く無関心でおりました。が、とある事情で宗旨替えして、市役所で申請して取得しました

j-card2.jpg

大いに差し支えのある部分は隠してありますが、私の住基カードです。
写真付きとそうでないものと2種類があります。私は、写真付きを選択しました。
私が宗旨替えした理由ですが、ここ一ヶ月で本人確認の為に写真付きの公的な身分証明になるものを求めらることが続きました。
この条件を満たすのは、パスポートか運転免許証になるかと思います。他に写真付きだとISMS審査員登録証カードと公認情報セキュリティ監査人登録カードがあるのですが、一般的なものでないので如何なものでしょうね。
ところで、私のパスポートは、期限切れ失効しますし、持ち歩く性質のものでもないと思います。運転免許証ですが、私は持ち歩かないことにしています。日頃は、自宅の机の引き出しで保管し、必要な時に持ち出すことにしています。以前に財布にいれて落としてしまったことがあって、再発行されるまで運転が出来ずに不便を感じたことがったので、それ以来、極力持ち歩かないようにしています。
運転免許証と住基カード、両者の比較してみました。何らかの原因で紛失した場合に、悪用を防ぐために直ちに届出が必要です。これは両者同じです。急ぎの場合は電話でも構いませんし、交番などに申し出て記録にとって貰う手もあります。私のようなサラリーマンでも、可能な範囲です。
再発行の手続きですが、こればかりは本人が市役所、所轄の警察署、運転免許センター等に出向く必要があります。サラリーマンの場合、その時間をとるのは簡単ではないでしょうね。私の場合もそうでした。
しばらく、運転免許証なり住基カードを無いことを覚悟する必要があります。その場合、運転免許証が無いことの方が不便ですね。何故ならば、車の運転が出来ないのですから。運転免許証の再発行の手続きに所轄署に車で行く訳にはいきませんしね。
悪用される可能性ですが、住基カードの発行が低調な現時点では、利用価値としては運転免許証の方が遥かに高いです、というか私はそう考えています。
よく言われる、住基ネットの脆弱性とかリスク、情報が集約されることの是非ですが、よくよく考えると運転免許証も同じだと思います。
私の免許証は埼玉県公安委員会より発行されていますが、県外で交通違反を犯しても、直ちに照会可能です。当然といえば当然なのですが、これは各都道府県の運転免許センターのデータが相互参照可能だからです。住基ネットと規模が違いますが、想定される危険性などは程度の問題ではないでしょうか。
などなどの理由で、やはり運転免許証を持ち歩くことは避けようと思いました。そこで、宗旨替えして住基カードを申請して取得しました。
公的個人認証サービスも使用可能してあるので、近いうちにICカードリーダを購入して試してみようと思ってます。その時は、試行結果をこのBlogで報告させていただきます。

2006年8月2日水曜日

外部委託先の管理  ふじみ野市の事故から (2)

休みなので家にいることもあり、また地元での出来事でもあるので、このニュース、関心と暗澹たる気落ちで接しています。
昨日、犠牲になった女の子が出場する予定だった水泳の記録会、長男が行ってきました。女の子が通学していた小学校は出場を辞退したとのことでした。

続報の中で、注目すべきことが・・・

再委託
プールの管理を請負っていた管理会社は、その業務を契約に違反して、市の承認を得ずに下請け会社に丸投げしていたとのこと。市はその事実を把握していなかったという報道です。
(1) 無断で再委託、論外です。しかも社長の昔の仲間に委託。
(2) 市が、その事実を把握せず。委託先の業務実態を管理指導すべき
委託元には委託先の業務実態を正確に把握し、契約内容を履行させる責任がありますね。市が業者に委託し、その後の管理意識が弛緩していたと言われても反論できないでしょう。
管理会社も無断で下請けに再委託した上に、やはり下請会社にお任せ意識があったのは否めないでしょうね。
委託元の委託先管理の問題、よくよく考えてみなければいけませんね。
マニュアル
管理会社の社長の会見では、管理マニュアルは作成されていたとしています。しかし、現場のアルバイトの監視員は、その存在を知らないとインタビューに答えています。また、実際にあったとして、その事が下請け会社に浸透していたか、その内容を市が把握し承認していたか、内容が適切であったかなど、疑問点が少なくありません。
(1) マニュアルは、本当にあったのでしょうか。
(2) マニュアルは活用されていたのか。活用されないと、無意味です。
(3) 市は、マニュアルの内容を把握していたのか。
(4) マニュアルの内容は適切であったか
(5) マニュアルは、周知徹底されていたか
プール管理の最高責任は市にあります。市の求められる安全水準の基づく要求事項がマニュアルの反映されているか、網羅されているかを確認する責任が市にあります。その点は、どうだったのでしょうか。現時点での報道では、よく分かりません。
私がかつて勤務していたソフトウェアベンダーで、よく同僚とこんなことを話していました。「使われないマニュアルは意味がない」。
マニュアルは適切に作成され、有効に使われることが重要です。仮に、今回問題となっているマニュアルが適切に作成されていたとしても、周知徹底されていなければ、意味がありません。この点については、市と管理会社の責任が問われて然るべきですね。
今回の事故からは、プールの事故ということと、行政だけでなく民間を含め、安全に関係する業務の外部委託ということへの教訓があります。
ここでいう安全と大きな意味で考えており、その範疇に情報セキュリティも含みます。その他に、食品であるとか生活に関連する製品あるとか。例えば、パロマのガス給湯器の事故が問題となっていますが、販売会社や保守会社に対するパロマの対応に問題がなかったのか。このプールでの悲惨な事故とガス中毒事故とには、根が同じ問題があるような気がします。
  

2006年8月1日火曜日

外部委託先の管理  ふじみ野市の事故から

埼玉県ふじみ野市の市営プールで、大変痛ましい事故がありました。
亡くなった女児は所沢市在住の小学二年生、私も実は所沢市に住んでいます。また、事故のあったプールは、私も我家の息子二人を連れて何度か行った事があります。そういう訳で、このニュースをなんとも痛ましく聞いておりました。
犠牲になった小学生に心よりお悔やみを申し上げます。
合掌

報道によると、プールの管理は民間業者に委託され、緊急時のマニュアルも整備されていたとの事です。
吸水口のガードに異常に気が付いたあとの処置が今後の捜査や損害賠償交渉、裁判の焦点になるのは間違いないでしょう。その中で、マニュアルの適切性や関係者への周知の状況など問題となりますね。管理者のしての市が、外部委託先へのどれだけ関与し、安全性を確保する責任を果たしていたかなど、解明すべき課題は重要で少なくありません。
ところで、情報セキュリティの観点からも、外部委託先管理は重要な課題です。個人情報や営業情報、製品情報、行政情報など当該組織や消費者、利用者、国民/市民、生徒/学生などの重要情報などが外部委託先で保管管理されることが少なくありません。この際、委託元は、自らが求められる、もしくは必要と考えるセキュリティ水準を委託先に要求し、実現させる義務がありますね。上記の事故では、直接てき過失責任を民間業者が問われることになるでしょうが、だからと言って市が免責になる訳ではありまえん。多くの人達が集まるプールの安全を確保、維持する管理責任は免れません。
どのようなケースでも、委託元は委託先に対して、責任を丸投げすることはできず、要求される様々な事項を果たしていく義務があります。
中央省庁の情報セキュリティに関する統一基準でも、委託元に委託先の情報セキュリティ水準を確保させることとされています。
委託したから委託先に全てお任せ、宜しくねとはいきません。
一部報道で気になることがあります。事故の原因を民間委託に収斂させてしまうようなコメントがりました。官尊民卑というか、官の無謬神話の名残なのでしょうか。私は、行政の民間委託はこれからも必要であるし、進めていくべきであろうと思います。民間だから無責任に事故を起こし、公務員だから大丈夫だと誰も証明できません。今回の事故のような悲劇を繰り返さないためにも、事故の教訓を生かし、民間委託の制度を改善しく必要があります。情報セキュリティの分野でも然りです。
犠牲者のご冥福を祈りつつ、再発防止に努めなければいけません。
再度 合掌

2006年7月29日土曜日

このBlogを開設してから一年以上が経過しました。物臭な性格が災いして、更新が著しく滞ることもありますが、一日平均60件程度、多い時は100件を超すアクセスを頂き感謝しております。
その間、幾つかのお問い合わせを頂きました。私が答えるべき、また回答して差し支えないと思われるご質問にはご返信してきました。しかし、回答できない、または回答することが適切でないと思われる質問もあります。

例えば、ISACA東京支部の公式な立場においてしか回答できないような事柄や、私の担当職務以外のお問い合わせなどは回答を遠慮させて頂いております。当Blogは、あくまで管理人自身が個人的にISACA東京支部には関係なく開設したものです。’お気楽’を銘打っているのもそのためです。

管理人の個人的立場、過去の経験などで回答できるご質問には、極力回答しています。しかし、分を超えたものには回答できませんので、予めご承知おき下さい。

以上、皆様のご理解をいただけるように、お願い申し上げます。

2006年7月27日木曜日

昨晩、ISACA東京支部の7月度月例会が開催されました。日本教育会館3Fのホールに多数の方の参加を頂き盛況でした。

今回の講師は、ISACA東京支部副会長でトーマツのパートナーの丸山さんさん、テーマは「SOX法シリーズその3 CISAの時代か?財務報告に係る内部統制の評価と報告」と題してのスピーチでした。
丸山さんの知名度と時宜に適ったテーマであったので、多くの方の興味を引いたのでしょうね。
私は受付などがあり、スピーチそのものは部分的にしか聞けなかったのですが、J-SOX法施行後の対応については、未だ不明確、試行錯誤が続くのだろうなとう感想です。
IT統制はどうあるべきか、職務の分離が曖昧な日本の企業文化の中で、厳密な内部統制が可能であるのかなど。昨日の記事に取り上げた日経新聞のインサイダー取引など、内部統制の欠如、職務の分離の曖昧さの代表事例ですね。
今後も、SOX法に関する議論は、ますます盛り上がる気がします。
丸山さんBlog、リンクしてありますので、是非ご参照下さい。大変に参考になります。

2006年7月26日水曜日

日経新聞社員にインサイダー取引事件で思うこと

日本経済新聞の社員がインサイダー取引で逮捕されました。その手口は、職場のPCを通じて株式分割の情報を入手して、当該企業の株を事前に購入、株式分割後の一時的株価上昇に乗じて売り抜けていたようです。情報セキュリティ上関心を呼ぶのは、その情報が入手できた経緯です。

以下は、読売新聞Webからの引用です。

日経社員を証取法違反容疑で逮捕、社長が謝罪
社員の逮捕で謝罪する日本経済新聞社の杉田亮毅社長(左)ら(東京・千代田区の本社で) 日本経済新聞社(東京都千代田区)の社員によるインサイダー取引事件で、東京地検特捜部は25日、証券取引等監視委員会の告発を受け、同社広告局金融広告部員の笹原一真容疑者(31)を証券取引法違反の容疑で逮捕した。
 同社は同日付で笹原容疑者を懲戒解雇するとともに、杉田亮毅社長が会見し、「社員の罪は社長の不徳の致すところ」などと謝罪、再発防止策を講じることを明らかにした。
 調べによると、笹原容疑者は昨年12月13日から今年1月20日までの間、上場企業5社が広告会社を通じて日経新聞に掲載を依頼した「法定公告」の内容を、掲載前に広告局内の共用パソコンで閲覧、同月31日までに5社の株計約9万4400株を計約2億4000万円で購入した疑い。笹原容疑者は、容疑を全面的に認めているという。
 笹原容疑者が不正取引に利用した法定公告は、いずれも公表後に値上がりが予想される株式分割に関するもので、掲載後に高値で売り抜け、計約3000万円の不正な利益を得ていた。関係者によると、笹原容疑者の口座には、事件発覚直前に、計1億円以上の残高があったという。
 逮捕を受け、日経新聞社は25日午後5時30分から本社で、杉田社長と専務3人が会見。杉田社長は、深々と頭を下げて謝罪した上で、「情けないの先を通り越して断腸の思い」などと述べ、社内調査結果を明らかにした。
 調査結果によると、笹原容疑者が株取引を始めたのは04年3月。動機については、「証券業界の担当者として、顧客企業を知るため」と説明したという。15の証券会社に口座を開き、インターネットを使って、多い日には100回以上も売買するほどのめり込んでいた。
 同社広告局では、法定公告の掲載情報などが閲覧できるIDとパスワードが部署ごとに共用され、笹原容疑者も日ごろからこのパスワードを使用していたが、ほかにも、少なくとも70人が法定公告の掲載情報にアクセス可能だったという。
 同社は、情報管理体制の不備を認めた上で、IDやパスワードを定期的に変更するなどの再発防止策を講じることを明らかにした。

 ◆過去に比べ悪質、規模も大◆
 今回のインサイダー取引は、過去の例に比べ、利益額や取引規模が大きく、悪質さが際立つ。
 インサイダー取引は1990年以降、約40件が摘発されている。大半が、一つの銘柄を対象とした取引で、複数銘柄の取引は、02年に監視委から告発された元東京三菱銀行員らの事件など数少ない。笹原容疑者による5銘柄での不正取引は過去最多。同容疑者が得た利益は約3000万円で、個人としては、98年の日本エム・アイ・シー事件、99年のトーア・スチール事件に次ぎ、史上3番目という。
��2006年7月25日21時28分 読売新聞)


記事にあるように、部署ごとでIDとパスワード共有していたのこと。初めから共用IDであったのか、それとも個人のIDがいつの間にか共用されたのかはわかりません。しかし、個人で固有に管理されるべきIDが共用されたことは、ID管理の原則に反します。また、職務の分離、職務に応じたアクセス権限の付与、need-to-knowなどアクセスコントロールの基本的な決り事に尽く反しています。
また、定期的なパスワードの変更もこれから実施するとのこと。という事は今まで行われていなかった訳ですね。
犯人の動機や犯意も問題ですが、アクセスコントロールの基本が守られていれば、十分に防ぐことが可能な事件であろうかと思われます。

2006年7月24日月曜日

個人情報保護法余波

個人情報保護法の施行後、様々な影響がでていますが、一部の明らかに過剰反応と思われることもあります。学校などで、連絡もが作れないというのも、その典型かと思います。

以下は、朝日新聞Webからに引用です。

電話番号知らなくても電話連絡網 情報保護意識高まり
2006年07月24日11時35分
 NTTコミュニケーションズは、利用者がお互いの電話番号を知ることなく連絡網を作れるシステムを開発し、サービスを始めた。個人情報保護意識の高まりで、いわゆる「過剰反応」を背景に、必要とされる連絡網や名簿が作りにくくなっているなどの現象も起きているなか、学校や塾などへ売り込みたいという。
 サービスを利用するには、電話のほかインターネット接続が可能なパソコンか携帯電話が必要。学級の連絡網を作る場合なら、親が専用のウェブサイトで生徒の名前や電話番号を登録する。
 電話で連絡を取り合いたいときは、サイトの画面で、相手の名前をクリックする。仲介するシステムが両者に電話をかけて接続する。
 これまでの類似サービスでは、利用する組織のうち管理者権限のある立場の人が、組織のメンバー全員の電話番号を知ってしまうようなシステムになっていて、情報流出の恐れは消えなかった。だが今回のシステムは、連絡網に登録された人同士はお互いの電話番号を一切知ることがない。いわば「番号なし電話連絡網」だ。
 ただし、連絡網の中の誰が電話をかけて来たのかわかるように、特別な番号が電話機に表示できる工夫はされている。
 基本料金は、登録者50人までの最小のシステムで1人あたり月1050円と高いが、NTTコムの斎藤幸男・担当部長は「学校の利用では割引も検討したい」と話している。


私は、連絡網が作れないといのは、明らかに行き過ぎだと思っています。連絡網全体の公開(関係者への)をやめて、部分公開にするとか、当該者の前後のみで連絡先を公開するとか、リスクを小さくする方法はあると思っています。
上記記事のようなビジネスが発案されるということは、個人的には必ずしもハッピーな出来事ではないと思いますが・・・・
皆さんは、如何にお考えでしょうか。
個人情報保護法とその影響、総括と見直しが必要ですね。

2006年7月23日日曜日

認証(保証)機関の質

前回の書込みから2週間以上ですね。すっかり、ご無沙汰です。いくらお気楽にやっているとは雖も、ちょっと怠慢が過ぎましたね。
反省いたします。 m(__)m

久々の記事、今回は認証(保証)機関の質という話題です。

金曜日に、とある認証機関のマネージャクラスの方と話をしました。その認証機関は外資系なのですが、日本の認証機関は審査を通さんがための審査をしていないかという話になりました。
無理に不適合を捻くり出すこともいかんですが、審査を通すことが目的と化した審査も問題であろうということです。
審査をパスする、認証を得るということは、第三者がその事により、当該組織の評価をする基準となります。しかし、認証機関によって審査水準がバラバラだと、第三者としては困ったことになります。というか、認証そのものの正当性の問題でしょう。
認証機関によって得意分野というのはあっても宜しかろうと思いますが、同一の認証基準においては、その審査水準は一定のレベル以上でないと、第三者としては当該組織を審査した審査機関のレベルを’審査’する必要がでてきてしまいますね。
耐震基準偽造問題で件の建築士が、審査の甘い建築確認機関に確認申請をだしていたという供述をしています(と報道されています)。
これでは、建築確認制度そのものの信頼性を揺るがしてしまいます、というより揺らいでいます。
認証もそうですし、現在進行形の保証型情報セキュリティ監査制度の推進でも、認証する保証する機関の水準を一定以上にする、維持することが重要ですね。
お話した認証機関は、厳しい審査をする、従って審査結果には信頼性があるという評価を得たい、ブランドイメージを作り上げたいとのことでした。是非とも実現して頂きたいと思います。

2006年7月6日木曜日

情報セキュリティシンポジウム

今日は、日本セキュリティ監査協会主催の情報セキュリティシンポジウムに参加しました。午前中の基調講演を拝聴し、午後は保証型監査普及促進プロジェクトに関係するセッションを出席しました。
日頃は、ISACAの月例会を運営する立場なので、本日は久し振りに一参加者として、じっくりと講演を聴くことができました。

JASAとして、保証型監査の普及への決意表明を新たにしたという印象でした。そのプロジェクトのメンバーとして、身の引き締まる思いでありました。

しかし、ISACAとJASAの役員を兼ねていたり、双方の活動に参加される方が多く、今日もISACAメンバーを多数、会場で見かけました。このシンポジウムの開催案内をISACAメンバーに発信した成果があったように思えます。

ISACAの行事もJASAのルートで案内を行うこともあります。そのような、両団体の協力、交流を積極的に進めていく必要性を感じた日でありまた。

7月と8月のISACA東京支部月例会もJASA CAIS保持者に皆さんに通知する予定です。会員と違い有料参加にはなりますが、CAIS資格維持プログラムの対象にもなりますので、ご出席いただければとおもいます。

ISACA東京支部教育担当理事として 

2006年7月5日水曜日

コメント

今朝、某国が弾道ミサイルの発射を強行したことで、夕刊やニュースはその話題で持切りですね。我が国の安全保障上の脅威ですから、当然と言えば当然なのですが。

ところで、日本は潜在的核保有国と想定されているそうです。思わず、「えっ! なんで」と言いたくなるところです。なんで、日本がと思いますが、ここで核保有国の定義ついて、一講釈してみます。

核保有国
 アメリカ
 連合王国
 フランス
 ロシア
 中国
 インド
 パキスタン

以上は、核兵器とその運搬手段を保有していることが公知されている国です。特に米英仏露中は、核不拡散条約でも核保有が認められています。

核保有疑惑国
 イスラエル
 イラン
 北朝鮮

以上は、核兵器の保有が疑われる、もしくは持とうとしている国とされています。

では、潜在的核保有国とはなんでしょうか。以下の条件を満たす国を潜在的核保有国と定義されるようです。
(1) 核兵器の開発製造能力がある
(2) 核兵器の小型化技術がある(核弾頭を製造できる)
(3) 核兵器の材料を保有している
(4) 核兵器(核弾頭)の運搬手段がある、もしくは開発能力がる

日本は、電力の30%以上を原発に依存しています。それだけ、多くの原発が稼動しているということで、先進的な核開発技術を持っているで、(1)の条件を満たしているとされています。
(2)の小型化技術は、日本の得意芸というべきもので、この条件も満たしているとされています。
原発用の核燃料や、再処理済みのプルトニウムを多量に保有していることは、公知のことなので、(3)の条件も満たします。
(4)もH-2Aロケットや、各種観測ロケットを開発しています。ロケットもミサイルも技術的違いはありません。運搬するのが、弾頭かそうでないかの違いだけです。
日本のJAXAが数年前に、地球の周回軌道上から投下したカプセルを予定された海上に予定とおりに着水させ回収する実験に成功しました。これは、ICBMに応用可能で、欧米の軍事筋では、日本は核弾頭の運搬手段を確保したと評価されたようです。

つまり、日本は上記の4条件を満たし潜在的核保有国、その気になれば数年以内に核弾頭開発可能な国家とされているようです。しかし、核保有疑惑国とはされていません。何故なのでしょうか?
それは、国際原子力機関(IAEA)の査察を受け、核兵器保有の可能性、開発の可能性が低い(ゼロではなく)とされているからです。つまり、IAEAから核保有疑惑国でないとのお墨付き、保証を得ている訳です。

長々と書き連ねてきましたが、言いたいことは上記の下線部です。あの国は、核保有に関しては可能性は低いとの保証をIAEAから得て、国際的信用を維持しているのです。
ここに、JASAが目指す保証型監査のモデルがあるような気がします。つまり、情報セキュリティに関しては、あの企業は一定の水準に達していることの保証。
以上は、私の私見です。皆様の反論、ご意見などお寄せ頂くと有難いです。

(時事ネタを強引に情報セキュリティに持って行きました)

2006年6月25日日曜日

PCを買換えました

本日は、私的な話題です。昨日、自宅PCを買換えました。古いPCは、2000年8月に購入したIBM Aptivaです。OSは、Windows98からMEにUpdateしておかりました。本来は、来年にPCを入れ替えを行うつもりだったのですが・・・
実は、水曜日にPCが突然にクラッシュしてしまい、ブートが出来なくなってしまいました。起動ディスクで立ち上げて、OSのインストールを行ったのですが、途中で止まってしまい、すっかりお手上げでした。昨年も似た現象があり、その時はリカバリーCDからOS再インストールで回復したので、今回も大丈夫かと高を括っていたのですが、今回はどうにもなりませんでした。昨日、IBMのサポートセンターに問い合わせたのですが、FDISKコマンドでHD全体のフォーマットが必要だとのこと。
Cドライブはどうでもいいのですが、Dドライブにはデジカメ写真のデータとか、ISACAやJASA関係のファイルとか、重要なデータがあって、FDISKは出来ません。
我家の総理大臣兼大蔵大臣に相談の上で、急遽PCの買換えを行うことにしました。

この6年で、PCのスペックも大幅に向上し、殆どのPCがTV対応、HDも200GB、300GB。Aptivaが7GBでしたから、30倍ら40倍強の容量ですね。

で、何にしたかというと、日立のPriusです。HDは300GB、DVDスーパーマルチ対応、CD-RW、FDドライブ無し、地上波アナログ、地上波デジタルTV対応です(とは言っても、未だに地上波デジタル対応の工事はしていないのですが)。

Aptivaでは、CDドライブだけで、バックアップを出来なかったので、今後はDVDへのバックアップもしなければ、いけませんね。

PCの買換えの理由になったDドライブのデータですが、販売店にHDを持ち込んで、新しいPCに移行しました。サービス料、\5,000也です。
古いPCは、今度の土日にでも最寄のPCデポで買取ってもらう予定です。同社のHPで確認したところ、\5,000で買取ってもらえそうです。データ移行サービス料が償却できますね。

今回改めて思ったのですが、バックアップは大事です。バックアップがあれば、Aptivaのリカバリーで対応しました。ギガ単位のデータ量だったので、FDにバックアップということもできず、このような事態になりました。

新しいDVDの企画争い、来年になれば先が見えるかなと思い、またWindows Vistaのこともあり、あと一年はAptivaに乗り切る予定が、思わぬことで一年前倒しです。思わぬ出費にならないように、皆さんデータのバックアップは、自宅PCと言えどもしっかりと実施しましょう。

2006年6月20日火曜日

先ほど、ようやく家に帰り着きました。もう、日が変わりましたが6月19日は、ISACA東京支部の年次総会でした。400人の申し込み者が出る月例会もありますが、やはり年に1回の年次総会は、支部とって最重要なイベントです。
この年次総会を機に理事会メンバーが交代し、また懇親会で会員同士の交流がある、区切りの行事です。

私は、引き続き教育担当理事を務めることとなりました。教育委員2年、教育担当理事2年、教育担当常務理事2年、再び教育委員1年、そして昨年に教育担当理事に再任され、今年も継続することとなりました。月例会の運営に携わって9年に突入です。

今回の総会では、このBlogにアクセスしてますという、ご丁寧なご挨拶を複数の方から受けました。その中のお1人は、当Blogにコメントも投稿してくれたHN、内部監査人様でした。このBlogからリンクを張っている丸山さんや長谷川さんは兎も角、実際にコメントしてくれた方にお会いするとは思ってもみなかったので、驚きでありました。

blog論議に花を咲かせたという訳ではありませんでしたが、もう少しこまめに更新しなければいかんかなと思った総会でありました。

ISACA東京支部の皆様、このBlogにアクセスして頂いている方々、来年までの人気、また宜しくお願い申し上げます。

2006年6月12日月曜日

「九電の子会社、またもウィニーで情報流出」からの教訓

タイトルの通り、はたまた個人情報の流失、それもWinnyです。全く珍しくもない、そんなニュースなのですが、ちょっと気になることがありました。以下は、読売新聞Webからの引用です。

九電の子会社、またもウィニーで情報流出

 九州電力の子会社・西日本プラント工業(福岡市)は12日、同社が請け負っている九電苅田(かんだ)発電所(福岡県苅田町)の点検作業の手順書の一部(A4版16枚分)が、ファイル交換ソフト「Winny(ウィニー)」を通じて社員の私用パソコンから流出したと発表した。手順書は作成途中のもので、重要な技術情報は含まれていないという。同社では4月にも、ウィニーによる業務情報の流出が判明している。

 同社によると、発電所に隣接する事業所に勤務する男性社員(34)が2004年1月ごろ、会社のパソコンから個人データを私用の記録装置に移した際、誤って業務情報も記録し、この装置を経由して私用パソコンに業務情報が入った。
 同社は、4月の情報流出判明後、ファイル交換ソフトや個人パソコン内の業務情報を削除するよう社員に通知したが、男性社員は業務情報が個人パソコンに入っていることを認識していなかった。

 同社は「関係者にご迷惑をかけ、申し訳ない。今後はさらに厳正な情報管理を徹底したい」と話している。

��2006年6月12日20時28分 読売新聞)



気になるのは、斜線部分です。どうやら、この社員は、
 1 個人のデータを会社のPCの保存
 2 会社のPCに使用の外部記憶媒体を接続
 3 個人データを外部記憶媒体にコピー
 4 コピーした際に誤って業務用データも一緒にコピー
 5 コピーしたデータを自宅PCの保存
 6 Winnyによって情報漏洩
という過程で情報を漏洩させてしまったようです。問題は、個人データを会社のPCの保存していたこと、会社のPCに私用の外部記憶媒体を接続できてしまうこと、この2点が気になります。

まず、個人データを会社のPCに保存させてはいけませんよね。USBのような外部記憶媒体から保存したのでしょうか。
私用外部記憶媒体の使用が制限されていなかったのでしょうか。まあ、制限されていないから、このような事態に立ち至ったと考えるべきですね。

本件からの教訓は
 1 外部記憶媒体の制限
 2 個人データを会社のPCに保存しない
ということでしょうか。
 

2006年6月11日日曜日

CISA/CISM試験 ご苦労様でした

CISA/CISM試験受験者の皆様 長丁場の試験、誠にご苦労様でした。今年も、多くの方々が受験されたようです。受験者総数とか、CISA/CISM受勲者内訳とかは、まだ分かりません。が、私が受験した頃に比べ受験者数も大幅に増加し、CISA/CISMの認知度や価値が高まってきた証かなと喜んでおります。

この後ですが、概ね8月半ば、お盆の頃までには試験結果が通知されます。その後に認定手続きになります。ISACA東京支部では、手続きの方法などについて解説する合格者説明会を10月か11月に開催します。

まあ、先のことは兎も角、長時間の試験 お疲れ様でした!

2006年6月7日水曜日

CISA/CISM試験

今週の6月10日土曜日は、今年のCISA/CISM試験の第1回です。この度も多くの方が合格を目指して受験されます。200問、4時間の長丁場試験、この時間を如何に乗り切るかがポイントです。以下、私の体験からです。

1 時間を区切る
見直しの時間を含めて、事前に時間を区切った計画をたてましょう。
私は、見直しの時間を一時間として、回答に4時間としました。
(私が受験した時は、250問5時間でした)

2 必ず回答する
  全て4択です。ブランクにすると0点、鉛筆倒しでも確率25%です。
必ず回答しましょう。鉛筆倒しで回答した問題は印を付けておきます。

3 長考しない
分からない問題に長考せず、取り敢えずの解答をして次の問題にかります。
この問題にも印を付けておきます。

4 問題をよく読む
  回答は必ずしも唯一の正解を求めるものではありません。
   最も適切なものを選択
   最も適切でないもの選択
  などなど、問題の内容を見極めましょう

5 見直し
  全問回答後の見直しも重要です。2と3で保留した問題も考えましょう。
  最初は分からなくても、全問をやると理解できるものもあります。
実際、見直しで分かった問題はありました。

以外に回答の選択間違いもあります。回答AなのにBにしていた何てのが。

  見直しで、確実の何問かを拾えます。私は1回目の試験は駄目でした。
  次の試験では、見直しをして何問かを拾いました。これで、合格。
恐らく1回目の試験で見直しをしておけば、大丈夫であったと思います。

6 集中力
4時間集中力を維持するのは難しいです。私は、半分くらいのところで、
  トイレに行きました。顔を洗い、うがいをし、深呼吸をして後半戦に
  望みました。リフレッシュも大事です。

7 飲み物、飴
飲み物や飴を持ち込み、途中で喉を潤し、糖分の補給で乗り切りました。

以上、経験談なのですが、受験者の皆様の参考になればいいのですが。
兎にも角にも頑張って下さい。

2006年5月29日月曜日

内部監査人資格が注目中です

今日、興味ある記事がありました。以下は、産経新聞Webからの引用です。

注目集める内部監査人 米では公認資格 時流先取り専門講座も

 

米国の資格である公認内部監査人(CIA)に対する注目度が高まっている。西武鉄道、カネボウ、ライブドアなど上場企業で有価証券報告書の虚偽記載や粉飾決算などの不祥事が相次いだことをきっかけに、金融庁が平成二十年三月から、企業の内部統制導入に向けた制度づくりを進めているためだ。時流を先取りし、資格取得のための講座を開設した専門学校も出始めた。

 「これまではたまたま社内で配属された人がやっていたが、日本でも法制度が導入されれば専門知識を持つプロの内部監査人が不可欠になる」

 CIA資格取得のための講座を今年二月に開講したU・S・エデュケーション(東京都渋谷区)の三輪豊明社長は、時代に先駆けて講座を開講した理由をそう説明する。同社の講座は、すでに商社や電機メーカー、金融機関などの大手企業社員を中心に百人以上が受講しており、その多くが五月中旬か十一月中旬の資格試験に挑戦するという。

 エネルギー大手のエンロンや、通信大手ワールドコムの不正会計事件を受けて米国で導入された企業改革法(SOX法)が求める内部統制とは、正しい財務諸表を開示できる体制を整えることで、違反すれば経営者は最高五百万ドルの罰金、二十年の禁固刑のリスクにさらされる。このため企業はあらゆる部門に対して内部監査を行い、監査法人のチェックを受けて正しい情報を開示する。この内部監査を手がけるのがCIAだ。

 米内部監査人協会が認定するこの資格は現在、七十八カ国、十三の言語で受験可能で日本語も含まれる。米国と異なり、日本の内部監査人には資格は不要だが、専門知識を求めて九百人余りが資格保有者となっている。金融庁が内部統制導入に向けた準備を進めている中で、「体系的な知識習得のために資格取得を目指すことにした」(大手電機メーカー社員)といったケースが増えている。

 金融庁が進める証券法改正の動きとは別だが、新会社法も企業に内部統制を求めており、人材は不足気味。企業経営者は、短期間のうちに人材育成、人材獲得を迫られており、内部監査人の需要はますます高まりそうだ。



 日本版SOX法に関係する記事です。企業の内部統制が重視され、それに伴い内部監査が重視されているというのが趣旨のようです。
 内部統制に関しては、システム監査や情報セキュリティ監査などでも重視されてきたのですが、今までは注目されたとは言えませんでした。しかし、SOX法対応にのキーワードして頻繁にマスコミに取り上げられるようになりました。

 内部監査人(CIA)、注目されているようです。CISAやCISMも同じようになれたらいいのですが。
 CIAを目指す方、CISA保持者はほんの少し有利なようです。目指すのは如何でしょうか。

内部監査人協会

2006年5月28日日曜日

このBlogを開設して1年が過ぎました。昨年の白浜シンポジウムに参加し、そこで多くの人がBlogを開設しているのを知り、それに触発されてのことです。更新の間が空いたりすることありましたが、兎にも角にも一年はもちました。2年に突入、情報発信というか情報共有、自己啓発/発展の場として、これからも宜しくお願いします。

2006年5月27日土曜日

CISA受験対策講座が閉校に

CISA受験対策講座を開講していたANJOインターナショナルが事業の継続が困難になり、破産に向けて法的処理を進めると発表しました。以下は、朝日新聞のWebからの引用です。

資格取得スクール突然閉校 5500人が行き場失う
2006年05月27日17時36分
 米国公認会計士(CPA)の資格取得スクール大手が突然閉校し、約5500人の受講生が行き場を失う事態に発展していることが27日、明らかになった。同業他社が、通常の料金を割り引いて受講希望者を受け入れるなど救済策を発表しているが、新たな負担に二の足を踏む生徒も少なくない。スクール側の無責任な対応ぶりに受講生や業界から批判の声が高まっている。

 閉校したのは、国際会計資格大手のANJOインターナショナル(東京)。帝国データバンクなどによると、同社は95年設立。受講生は社会人が多く、一時は東京や札幌、大阪、福岡など全国で11校を運営。派手な広告戦略でピークの00年12月期には売り上げは約20億円に達した。だが、急拡大路線が裏目に出て資金繰りに行き詰まり、5月16日に閉校。10億円余りの負債を抱え、事業譲渡や破産など事後処理を弁護士に一任した。

 受講生の一人、東京都江東区の男性会社員(39)は昨年11月に受講料の全額の55万円を前払いした。実際に受講したのは予定の半分。閉校で講座を修了できなくなり、国の教育訓練給付金(最大20万円)の受給資格も失った。「経営内容は公開されていなかったが知名度があったので安心していた。全部受講生の『自己責任』で終わるのはおかしい」と憤る。

 同社によると、現時点で未受講の講座がある受講生は約5500人。4月7日まで新規募集をしていたため、受講料40万~80万円を前払いしたものの教材すらほとんど受け取っていない受講生もいるという。斎木修次社長は閉校1カ月半前まで募集していたことについて「経費削減で立て直そうとしていた。決して作為ではない」と弁明。「返金する資産はなく、他社への受講生引き継ぎのメドも立っていない」と話す。

 こうした事態に、CPA取得最大手のU.S.エデュケーション・ネットワーク(東京)は、同等コースを75%引きにして希望者を受け入れる救済策を発表。プロアクティブ(同)は半額程度、TAC(同)も6割引きなどの措置を打ち出した。同業経営者の一人は「受講生投げだしはあまりに無責任。業界の信用失墜が怖い」と漏らす。

 民間教育訓練施設を巡っては閉校で受講生が行き場を失う事態が続いている。今年1月には、約5400人の受講生を抱えた英会話スクール中堅、日本エヌ・シー・ビー(東京)が突然、閉校。被害者の会ができるなど波紋が広がった。業界団体の全国産業人能力開発団体連合会は「過去に例がない事態」と危機感を募らせる。受講生の需要が細分化し、ネット授業など教育形態の多様化も進んで、競争が激しくなっていることが背景にあるという。

 同連合会によると、閉校に備えた保険や基金など制度的な受講生救済措置はなく、現状では同業他社の好意に頼るしかないのが実情という。



冒頭にも記したように、CISA受験対策講座もあったのですが、今年は募集していなかったと思われるので、CISA受験希望者の方に被害はでなかったたようです。ISACA東京支部とは独立して開催されていたのですが、CISA受験者の便宜を図るということで、講師に募集には協力していました。実は、私もこの受験対策講座の講師を2度ほど務めたことがあり、講座のビデオも発売されていました。それだけに、色々と考えずにはいられないニュースでした。

支部で開催したCISAレビューコースには、100人を越す参加者がありました。とわいっても、ボランティアベースの講座は、マンパワーの確保の点からも質の維持の面でも限界があります。需要はあるので、他の研修機関が引き継いでくれるとあり難いのですが・・・

個人的見解ですが、いずれにしても、ISACA東京支部として、今後の方針を検討してCISA受験希望者の皆さんへのサポートを明らかにする必要があると思います。

2006年5月25日木曜日

新しいリンクです

情報セキュリティプロフェッショナル(自称)の長谷川さんが、CISSPの話題に絞った支店ブログを開設されました。

CISSPになって情報セキュリティプロフェッショナルをめざそう!

早速、このお気楽Blogからもリンクさせていただきました。CISSPを目指す方、参考になさって下さい。

二つのBlogの更新、長谷川さん頑張って下さい。小生は、このBlogで精一杯です。

2006年5月20日土曜日

個人情報漏洩の損害賠償金額

YahooBBの個人情報漏洩に対する損害賠償請求裁判の判決が言い渡されました。以下は、産経新聞Webからの引用です。

ヤフーBB運営会社に賠償命令 顧客情報流出で1人6000円
 インターネット接続サービス「ヤフーBB」の顧客情報流出事件で、個人情報が漏らされて精神的苦痛を受けたとして、大阪や兵庫など20―70代の会員と元会員5人が運営会社「BBテクノロジー(旧ソフトバンクBB)」とグループ企業の「ヤフー」の2社を相手取り、1人当たり10万円の慰謝料を求めた訴訟の判決が19日、大阪地裁であった。山下郁夫裁判長は、「不正アクセスを防止するための措置を講じなかった」などとして、BB社に1人当たり6000円の支払いを命じた。
 原告側代理人によると、インターネットを通じたデータベース管理体制の不備を理由に、企業に賠償を命じた司法判断は初めてという。急速に拡大するネット社会で企業側の個人情報管理のあり方に一石を投じそうだ。

 ヤフーに対する請求については、「ヤフーが管理していた情報の流出はなく、BB社に対する監督義務も認められない」として退けた。

 判決などによると、BB社の元契約社員らは平成15年6月と16年1月、社員当時に使用していたパスワードを使って、ネットカフェのパソコンから同社のサーバーにアクセス。会員の住所や氏名など延べ1100万件の顧客情報を不正に取得した。

 山下裁判長は判決理由で、BB社の管理体制について、契約社員が退職した際にパスワードなどを変更しておらず、極めて不十分だったと指摘。「電気通信事業者として、個人情報の漏洩や不正アクセスを防止する注意義務に違反した」と認定した。

 さらに、「契約社員による不正アクセスの予見は可能で、適切な管理を行っていれば情報流出は防げた」と述べた。このうえで、損害額について、個人情報の重要度や二次流出が認められないことを考慮し、慰謝料として5000円、弁護士費用として1000円の計6000円が相当との判断を示した。

 この事件をめぐっては、BB社が全会員に500円相当の金券を郵送した。また、元契約社員らから個人情報を入手した男らが親会社のソフトバンクから現金を脅し取ろうとして逮捕され、恐喝未遂などの罪で有罪判決を受けている。

(05/19 21:02)



今後は、個人情報漏洩が発生した場合は1人(1件)当り\6,000という損害賠償義務があるということが前提となりますね。数年前、とある地方自治体の住民基本台帳の情報が漏洩し、損害賠償請求が提訴された裁判で、当該自治体とシステムの運用を受託していた企業に原告1人当\30,000の支払いを命ずると判決され、最高裁まで争われ判例として確定しました。この例では、漏洩データが名簿会社に渡っているということが判断基準となっているようです。
今回に判決では、2次流失が認められないちうことから、\60,000になったようです。
もし、この金額が判例として確定した場合、今後は、個人情報漏洩のリスク判断では、1人当り\6,000という金額が基本となっていくのでしょうか。ただし、この判決は漏洩による2次被害については対象としていませんので、2次被害については、個々に判断されるのが妥当なのでしょうね。

2006年5月15日月曜日

ファイル交換ソフト

ファイル交換ソフトによる情報漏洩は、Winnyに止まらないようです。以下は、産経新聞Webからの引用です。

「シェア」介し情報流出 従業員のPCから 中部電力

 中部電力の尾鷲三田火力発電所(三重県尾鷲市)の敷地内の見取り図や不審者への対応マニュアル、同発電所の防災警備を行う中電防災尾鷲三田事業所の従業員の名簿などが、ファイル交換ソフト「Share(シェア)」を介してインターネット上に流出していたことが十四日、分かった。
 同事業所によると、同事業所の男性従業員(40)の私用パソコンに入っていたシェアがウイルスに感染、保存してあった内部情報が流出した。

 見取り図は防災マップの形式で、ボイラー、変電所、煙突、貯蔵庫、計器室、制御室などの施設や設備の位置関係を明示。不審者対応マニュアルには、話し掛ける際の注意事項や不審者の目撃情報がありながら発見できなかった場合の対処方法が記載されている。


 名簿は同事業所の職員十数人の住所、氏名、生年月日、電話番号、雇用時期などを明記。いずれも男性が平成十二年前後に作成したという。ほかに、十七年度の業務運営計画や苦情対応要領なども流出した。

 別のファイル交換ソフト「ウィニー」を介した情報流出が相次いだのを受けて男性は二月下旬、ウィニーをパソコンから削除したが、三月に入ってから新たにシェアを使いだしたという。

 男性は「仕事の情報がパソコンに残っているとは思わなかった。認識が甘かった」と反省しているという。
 


 中部電では今年一月にも、関連会社社員の私用パソコンからウィニーを通じ川越火力発電所(三重県川越町)の検査記録などが流出している。

【2006/05/15 東京朝刊から】

(05/15 08:05)



Winnyでなければ大丈夫、という認識はしてはならないということですね。おそらくShare以外のファイル交換ソフトでも、その機能を利用するウイルスが作成されて、情報漏洩に至るのだろうと思います。

Winnyの開発者が著作権侵害で起訴され、裁判中です。ファイル交換ソフトウェアは、この情報漏洩の問題以外にも、著作権等の知的所有権に関する社会的合意がなされていないと、私は考えています。それに加えて、情報流失ですから、今は社会的脅威になっていると言っても言い過ぎではないと思います。
現在のところ、技術的な対策が存在しない以上、
 ①ファイル交換ソフトを業務で使うPCにインストールしない
 ②ファイル交換ソフトがインストールされたPCに重要データを保存しない
という事を守る以外に方法は見当たらないのが現状でしょう。
企業のネットワークは兎も角、個人のPCについては、所有者の良識に期待するしかないですね。

2006年5月13日土曜日

米国情報セキュリティ事情

米国の個人情報の保護に関して、興味深いニュースがありました。以下は、日経BPのHPからの引用です。

個人の機密情報保護を怠った米不動産会社,FTCの和解案に合意

 米連邦取引委員会(FTC)は米国時間5月10日,個人情報保護に関して適切なセキュリティ対策を怠っていた不動産会社米Nations Holding(NHC)が和解に応じたと発表した。FTCは,NHC社とその子会社Nations Title Agency(NTA)が,顧客情報を保護するよう義務づけた法規「Safeguards Rule」に違反したとして提訴していた。

 NHC社はカンザスに拠点を置く非公開企業で,米国44州において不動産業を展開している。NTA社は住宅ローン関連のサービスを手がけている。

 FTCによると,NHCとNTAの両社は,顧客名,社会保障番号,銀行やクレジットカード情報,信用履歴などを取り扱っていたにもかかわらず,それら個人情報の保護に関して,適切かつ基本的なセキュリティ対策を怠った。さらに,個人情報を含む書類を,第三者が出入りできるゴミ捨て場に投棄した。またNHC社は,ごく一般的な手口を用いたハッカー攻撃によって,社内ネットワークへの侵入を受けたという。

 ちなみにNTA社は,「顧客情報を保護するために,連邦政府が定める規制に準拠した物理的および電子的対策と適正手続きを導入している」とするプライバシ・ポリシーを明記していた。

 FTCの和解要件は,両社が包括的な情報セキュリティ・プログラムを導入し,今後20年間はセキュリティ・プログラムが適切な水準に達しているか,専門の第三者機関の監査を受けるよう定めている。また,2005年6月1日に施行されたFTCの「Disposal Rule」に従い,顧客の信用履歴に関する情報を適切な方法で処分するよう義務づける。

 FTC委員長のDeborah Platt Majoras氏は,「消費者の個人情報を不注意に取り扱うと,身元詐称などの犯罪を誘引することになる」と警告する。同氏によると,FTCはこれまでデータ保護に関する不適切な慣行を,今回の和解を含め13件取り締まったという。

 


個人情報保護のための適切な情報セキュリティ対策がとられていないとのことですが、連邦取引委員会(FTC)の所管なのですね。消費者保護の範疇なのでしょうか。
それと、漏洩したことに対する処置ではなく、適切な対策がないということの和解。企業が情報セキュリティ対策を施すのは当たり前ということなのですね。

’今後20年間はセキュリティ・プログラムが適切な水準に達しているか,専門の第三者機関の監査を受けるよう定めている’とありますが、これは保証型の情報セキュリティ監査なんですかね。

色々と、考えさせられるニュースした。

FTC発表資料

2006年5月10日水曜日

経年変化

皆さん GWから仕事モードへの復帰は完璧でしょうか?
ところで、自慢する訳ではないのですが、9年乗った自家車を買い替えました。連休開始の4月29日が納車だったのですが、その際に感じたこと、考えたこと少々。

助手席エアバッグとかABSなど安全に関するものは、標準装備となっていました。この9年間の嫌煙権の高まりのためでしょうか、灰皿とライターははオプションです。カーナビは、事実上標準みたいなものです。後付だと高くつきますから。ETC、9年前はなかったのです。

購入した車のカテゴリが-違うので単純な比較してはいけないのですが、9年間で車に対しての需要、要望が変わってきたのは事実であろうと思います。特に安全に関する装備が標準となっていることは、特に感じた点でありました。

情報セキュリティについても同じであろうと思います。9年前は、ちょうどCISAの試験に合格した位に時期です。その時に比べ、個人情報に関する意識であるとか、Internetの普及の度合いであるとか、企業の法令遵守への関心あるとか、劇的な変化があったと言っていいでしょう。

現在有効なコントロールも社会情勢の変化とか新たな情報技術の登場であるとかで、その有効性が維持されるとは、だれも保証できませんね。だから、「継続的改善」が必要なのでしょうね。つまり、現に実施中の管理策の有効性を評価し、改善していく、所謂PDCAのサイクルの必要性の所以あるかと思います。

自動車メーカーが状況の変化に応じ、装備の内容を変えているように、情報セキュリティも絶えず向上していく事が必要なんだと、ふと考えた次第です。

追伸
我が家の奥様は、早速やってくれました。納車から三日目で擦っちゃいました。駐車場にバックで入れる時だったようです。バックが苦手だというから、オプションでリアカメラ付けたのに。前の車は、3ヶ月はもちました。
思わず溜め息でした。

2006年5月1日月曜日

「セキュアジャパン2006(案)」

内閣官房情報セキュリティセンター(NISC)から公表され、パブリックコメントを募集している「セキュアジャパン2006(案)」を斜め読みしてみました。

「セキュア・ジャパン2006」(案)に関する意見の募集

これは、先週末から情報セキュリティ関係のBlogで取り上げられています。取り急ぎ斜め読みですが、気になる点を幾つか・・・

情報セキュリティ監査
案の中で情報セキュリティ監査の推進について取り上げられています。
政府機関の外部委託先の情報セキュリティ水準を確保する手段として、情報セキュリティ監査制度の活用を図るとなっています。内閣官房及び全政府機関が対象です。

地方公共団体の情報セキュリティ対策の有効性を評価し改善するため、情報セキュリティ監査の実施を推進するとなっています。総務省が主管となるようです。

民間企業向けの情報セキュリティ監査制度の普及促進施策として、情報セキュリティ水準を適正に評価する環境整備ため、質の高い監査サービスを受けられる基準の検討を行うこととなっています。

情報セキュリティ監査制度の促進が明記され、強調されているのはいいのですが、また省庁縦割りの弊害で、制度が乱立しなければいいのすが、気になるところです。確かに、民間企業や政府機関、地方自治体など、その組織の役割や特性もあり、一律の基準の策定が難しいのは理解しています。しかし、基本的な概念や、監査の仕組み、必要な制度の統一性などは確保して欲しいものです。


情報セキュリティ関連資格
政府機関の人材育成に関連し、政府機関の情報セキュリティ対策業務の要員は、全員が情報セキュリティ関係の資格を有することとなっています。これは、公務員の採用試験に情報セキュリティの職分でも追加するでしょか。それとも、情報処理技術者試験の合格を義務付けするのでしょうか。義務付けられる資格に内容など明確なってはいません。ここが気になるところです。

情報セキュリティ関する資格制度の体系化ということも記述されています。「情報処理技術者試験をはじめとする情報セキュリティに関する資格制度の体系化について、その基本方針及び具体策を2006年中に示す。」となっています。
現在の情報処理技術者試験を中心にするように読み取れますが、既存のCISSPやCISMと
いった国外資格、経産省が進めている情報セキュリティ監査人制度などとの整合性
は、どうなるのでしょうか。上記の政府要員に取得が義務つけられる資格とも密接に関係するのでしょうね。ホルダーとしては、気になるところです。

この話題は、冒頭にも触れたように、情報セキュリティ関係の色々なBlogで先週末から取り上げられています。私は、週明けの今日気がつきました。慌てて斜め読みして、自分Blogで記事にしたわけです。4月22日に買い換えた自家用車の納車があり、何せ9年ぶりの新車購入で、土日は浮かれていて、この話題に全然気がつきませんでした。

取り敢えず斜め読みした結果を記事にしましたが、「セキュアジャパン2006(案)」、暇を見付けて読み込んでから、引き続き取り上げていきたいと思います。

皆さんの感想やご意見などもお寄せ下さい。

2006年4月29日土曜日

政府がウイニー対策ソフトを開発

政府がウイニー対策ソフトを開発するというニュースがありました。以下は、読売新聞Webからの引用です。

政府の「情報セキュリティ政策会議」(議長・安倍官房長官)は28日、国内で相次いでいるコンピューターに絡んだ情報漏洩(ろうえい)を食い止めることを目指し、133の施策を盛り込んだ行動計画「セキュア・ジャパン2006」をまとめた。

 ファイル交換ソフト「Winny(ウィニー)」を介した情報流出では、国が独自に流出防止ソフトの開発に乗り出すと明記した。

 パソコン内部に蓄積されたデータを常時監視し、外部へ移動させようとするなどの異常があった際は、パソコンの動きを一部抑制する仕組みを検討している。

��2006年4月28日22時43分 読売新聞)



ウイニー対策というより、情報漏洩全体を防止しようとしていますね。データの転送が職務上必要な人とそうでない人を明確にして、不必要なデータの転送をロックしてしまうのでしょうか。トラステッドコンピューターの応用のような気がします。もっと、詳細な情報が知りたいところです。

2006年4月23日日曜日

個人情報保護法の弊害・・あしなが育英会の危機

毎日新聞のWebを見ていたら気になる記事がありました。以下は、その記事の引用です。

あしなが育英会:遺児情報が激減 高校進学支援に影響も

 病気や自殺などで親を亡くした子供たちの進学を支援する「あしなが育英会」(東京都千代田区)に、遺児情報を提供する中学校が激減している。05年4月に施行された個人情報保護法が原因とみられる。育英会は「提供された情報をもとに、奨学金の存在を遺児に知らせていた。このままでは奨学金制度を知らずに進学を断念する子供たちが増えてしまう恐れがある」と心配している。

 育英会は、全国約1万1000校の中学校に遺児調査を依頼。遺児の名簿を提出してもらい、育英会や奨学金の存在を遺児家庭に連絡して高校進学を支援してきた。

 調査に回答してくれた学校は、03年までは毎年、1100~1200校だったが、個人情報保護法施行前年の04年には909校に減少。導入後の05年には464校と一挙に半減した。

 情報提供をやめた学校は育英会に「個人情報保護法ができたため、提供をやめる」「情報を出して苦情が出ることが心配だ」などと説明しているという。

 自殺者の増加で、奨学金申し込みの新規出願者は今年は全国で1360人と過去最多となった。しかし、学校からの情報提供の減少を考えると、本来はもっと増える可能性がある。

 育英会の工藤長彦奨学課長(52)は「個人情報保護法の趣旨をゆがめて解釈しているとしか思えない。遺児の進学のため情報提供に協力してほしい」と話している。【山本泰久】

毎日新聞 2006年4月23日 18時15分 (最終更新時間 4月23日 18時48分)



あしなが育英会には、何度か募金などさせて頂きました。遺児の皆さんには貴重な奨学金であり、地道で息の長い活動を行ってきた団体ですね。その活動に支障がでているという。個人情報保護法は、本来個人の情報が不正に利用されることを防ぐ法律ですが、それが別の側面で弊害が出ているという、まさに矛盾ということでしか表現できません。
個人情報保護法、ビジネス的には過去に出来事になっていますが、今一度考え直してみる必要がありますね。

「Winny」におけるバッファオーバーフローの脆弱性

「Winny」にバッファオーバーフローの脆弱性があるそうです。以下は、朝日新聞のWebからの引用です。

ウィニーのプログラムに欠陥 乗っ取られる危険性も
2006年04月22日19時18分

 独立行政法人「情報処理推進機構(IPA)」は、ファイル交換ソフトWinny(ウィニー)のプログラムに欠陥が見つかったと発表した。通信処理に関する欠陥で、最悪の場合、ウィニー利用中のパソコンを外部から乗っ取られる可能性があるという。最新バージョンのウィニーのプログラム自体に欠陥が見つかったのは初めて。

 これまで問題になったのは、ソフト利用者間のネットワークでの情報流出だった。今回の欠陥を突けば、ウィニーを介して他人が勝手にパソコンを操作できるようになる。悪意のあるプログラムを送られると、異常終了したり、ウイルス感染したりする恐れがあるという。

 IPAは「現時点では、利用を中止する以外に対策はない」と警告している。



JVN#74294680:Winny」におけるバッファオーバーフローの脆弱性

この問題は、新聞各紙でも報道され、数々のBlogでも取り上げられています。IPAの見解通り、Winnyを使わないという対策しかないようですね。
Winnyの開発者のK氏は、諸般の事情によりWinnyのアップデートが困難だと言っているようです。間接的に著作権法違反容疑の不当性を訴えたいのかな。
とにもかくにも、脆弱性が指摘され、それを解決できないソフトウェアを使うべきではないですね。

皆さん、Winnyは直ちにアンインストールしませう。

2006年4月16日日曜日

このところ、Winny経由での情報漏洩のニュースの陰に隠れてしまっている感のあるフィッシング詐欺ですが、三井住友銀行が対応策を発表したそうです。以下は、朝日新聞のWebからの引用です。

三井住友銀、顧客あてメールに電子署名添付へ 大手行初

2006年04月16日20時11分
 
三井住友銀行は5月下旬から、顧客のパソコンあてに銀行名で送る電子メールすべてに電子署名をつける。大手行では初の取り組み。銀行の名をかたった偽メールが金融被害の原因になっていることから、電子署名でメールの真偽を簡単に判別できるようにする。

 同行は引き落としの事前通知や現金自動出入機(ATM)での入出金完了のお知らせなど、月平均で300万通のメールを顧客に送っている。5月22日からはそのすべてに、民間認証機関が発行する電子署名をセットで送る。

 電子署名により、認証機関側に登録されているアドレスと送信者が一致しているか確認する。電子署名には、暗号化された本文の要約もついており、受信したパソコンで自動的に、要約を元に戻して本文と照合することにより、改ざんの有無も判別できる。

 同行によると、現行のパソコン用メールソフトの9割以上は電子署名に対応しており、顧客には料金も含め新たな負担は生じない。

 フィッシング詐欺は、銀行になりすまして偽メールを送りつけ暗証番号の入力を要求したり、偽のホームページにアクセスするようしむけたりして個人情報を不正に取得し、預金を勝手に引き出すのが代表的な手口。電子署名は被害の抑止に有効とされており、今後は他の金融機関などでも利用が進むとみられる。



 私の自宅のPCへも、銀行やらクレジットカード会社やらからフィッシング詐欺注意のメールが送られてきていました。過去形なのは、このところ注意喚起のメールが送られてこないからです。でも、フィッシング詐欺が無くなったわけではないですよね。人の噂も七十五日を言いますが、危険に対する注意も七十五日にならないようにしないといけません。

 三井住友銀行は電子署名でフィッシング詐欺に対応するとのことです。他の銀行の対策は如何に?

2006年4月15日土曜日

警察もPCの大量調達か

防衛庁/自衛隊に続いて、警察庁がPCの大量調達を計画しているようです。以下は、毎日新聞のWebからの引用です。

ウィニー問題:警察官にPC配備 国家公安委員長が検討
 沓掛哲男国家公安委員長は14日、岡山県警などでファイル交換ソフト「Winny(ウィニー)」を介して警察官の私物パソコンから捜査資料が流出した問題を受け、国費で全国の警察官へのパソコン配備を検討していることを明らかにした。07年度予算への計上を目指すという。同日の衆院内閣委員会で泉健太議員(民主)の質問に答えた。

 警察庁によると、警察のパソコン配備はこれまでは各都道府県予算で行われており、約12万2000台が整備されている。しかし私物パソコンも約7万7000台使われており、新たな情報流出が心配されている。

 内閣委で沓掛公安委員長は「必要な公費パソコンを配備できるよう、(都道府県予算に加え)国費でも検討したい」、武市一幸警察庁情報通信局長も「07年度末までに目的を達成したい」と述べた。【青島顕】

毎日新聞 2006年4月14日 20時14分



自宅PCに対して、情報セキュリティ上の必要なコントロールを完全に及ぼすことが難しい以上、公務上必要な備品を揃えることは必要だと思います。しかし、それで対策が充分か問われれば、答えは否です。情報の分類や取扱い、職責職務に応じたアクセス権に定義、コントロールの有効性評価などやるべきことは他にもあります。防衛庁/自衛隊もそうですが、PCの調達ばかりが報道されていますが、その他の対応も発表して欲しいですね。

しかし、Winny対策バブルとでも言いたいような状況ですね。くれぐれも、精勤の無駄遣いにならないような、透明な調達をお願いします。

2006年4月13日木曜日

ウイニー特需なんだそうです

防衛庁は、DellのからPCを一括購入するんですね。対策の一貫性を確保するためには、一社一括購入が妥当ということでしょうか。
以下は、毎日新聞Webからの引用ですが、「ウイニー特需」がキーワードです。これからは、情報漏洩の危険があるウイニー等ファイル交換ソフトへの対応が関係業界のビジネスチャンスになりそうです。他人の不幸で飯を食う、なんてことになるのかな! m(_ _;)m ゴメン!!

デル社:防衛庁からPC5万6千台受注 ウィニー事件で
 米大手パソコンメーカーのデルは13日、防衛庁から5万6000台のパソコンを一括受注したと発表した。落札額は約40億円。同庁では職員が私物のパソコンを業務に使い、ファイル交換ソフト「Winny(ウィニー)」経由で機密情報が流出した不祥事を起こしており、再発防止策の一環として大量発注で支給品に切り替えることにした。私物パソコンを業務から締め出す動きは警察など他の官公庁などにも広がっており、パソコン業界は「ウィニー特需」に熱い視線を注いでいる。
 デルによると、日本での1回の案件としては過去最大の規模で、官公庁に大量納入するのも初めて。平均単価はデスクトップ型が約7万円、ノート型が約7万6000円。機能を必要最低限に絞り込んだモデルで9月末までに納入する。

 デルは97年に国内市場に本格参入し、05年の出荷台数シェアは3位。今回の大量受注について「アメリカでは広く官公庁で採用されている。安さだけではなく、情報流出対策のノウハウの提供などサービス面も評価された」と話している。【斉藤望】

毎日新聞 2006年4月13日 18時29分



社内のLanに接続されたPCにインストールされているソフトウェアの適切な管理がポイントです。今までは、ソフトウェアのライセンス管理が主眼でしたが、加えてリスキーなソフトの検知と削除が情報セキュリティ担当者の課題です。実際、ウイルスソフトメーカーはいち早くウイニー対策ソフトを発表してますね。

社用PCは、対策が進んでいくのでしょうが、情報が漏洩しているのは、自宅の個人PC。ここは、自宅のPCに業務データを保存しない、個人PCで仕事をしないというルールを徹底するという対応策しかないですね。

仕事は会社で!  が新たなキーワードかも

防衛庁/自衛隊の情報漏洩対策

防衛庁/自衛隊の情報漏洩対策が発表されまあした。以下は、読売新聞のWebからの引用です。

ファイル交換ソフト「Winny(ウィニー)」を介し、護衛艦の秘密文書などのデータ流出が相次いだことを受け、防衛庁は12日、情報流出の再発防止策をまとめた。

 職場から私有パソコンを一掃するため、陸海空自衛隊を中心に約5万6000台のパソコンを約40億円で緊急調達したのをはじめ、職場のパソコン内のデータや所持品の抜き打ち検査など、検査態勢の強化を制度化する。

 また、現在約13万件ある「庁秘」の指定について再点検し、必要最小限にする一方、秘匿度の高いものは、漏えい時の罰則が重い「防衛秘密」に移行させる、としている。このほか、秘密情報を扱う全職員に「誓約書」を自筆で書かせ、提出させることも決めた。

��2006年4月12日13時59分 読売新聞)


秘密電子計算機情報流出等再発防止に係る抜本的対策の具体的措置について

情報セキュリティ対策が施されたPCを購入、必要な部署/部隊に配布し、個人PCを排除、業務/任務での使用を禁止し秘密情報を扱う職員隊員から誓約書を提出させるなど対策がとられるようです。ところで、情報漏洩は、防衛庁/自衛隊のみの問題ではないのですが、他の省庁はどうなのでしょうね。

2006年4月9日日曜日

あおぞら銀行、安全面からMac OSを選択

今日の産経新聞に興味不快記事が掲載されていました。以下は、産経新聞Webからの引用です。

あおぞら銀 安全性でマックに PC端末、夏までに変更

 あおぞら銀行が今夏までに全社のパソコン端末の基本ソフト(OS)をアップルコンピュータの「Mac OS」へ切り替えることが八日、明らかとなった。安全性向上のためだが、国内大手企業の大半がOSにマイクロソフトの「ウィンドウズ」を使っている中、珍しい対応となる。

 あおぞら銀は昨年五月からグループ全社の業務用システムを刷新、データ類をサーバーで一元管理し、各行員のパソコン端末にはデータ類を保存させない仕組みを導入してきた。金融機関の個人情報紛失・流出が相次ぐなか、他行に先んじてデータの管理体制を徹底することが目的だ。

 システム刷新にあわせ同行では端末自体も見直し、「よりセキュリティー面で信頼がおける」(コーポレートコミュニケーション室)などとして、グループで二千五百台に上るパソコン端末すべてをアップル社製に切り替える。部署ごとに切り替えを進め、夏までに完了する見通し。新端末はすべてにカメラシステムをつけ、支店や海外の拠点といつでもテレビ会議ができるようにした。

(04/09 08:22)



Mac OSと言えば、DTP業界やグラフィックデザイナー、熱烈なMacファンに支持され、Windowsの圧倒的なシェアの中でも存在感を示していました。しかし、ビジネスの世界ではWindows一辺倒であったといっても過言ではありませんでした。その中で、情報セキュリティ対策、データ管理の徹底の観点からMac OSへの移行を決断したようですね。

様々なビジネス向けソフトウェアがWindows仕様で開発されていることを考えると不利な点もあると思うのですが、安全第一の決断なのでしょうか。
あおぞら銀行が、Mac OSのセキュリティ面にどのような評価を下し、またWindowsより優れているとしたのか、その比較結果に興味があります。Windows向けのアプリケーションが圧倒的である中での決断ですからね。しかし、この評価結果は極秘事項でしょうから、外部に公開されることは、残念ながら期待できませんね、

今回の事例は、情報セキュリティの観点から基本ソフトウェアが選択されたということで、画期的で興味深いものがあります。オープンシステムへの移行の奔流のなかで、安全面からメインフレームを使い続けることに批判的な見解があります。しかし、今回の事例のように、安全の確保するためにOSを選択するという観点からいうと、安全面で実績のあるメインフレームを使う、Mac OSを選択するということを吟味してみることは意義深いのではないでしょうか。
元メインフレームエンジニアの思いを込めて

2006年4月5日水曜日

このBlogは、あくまで私個人の思いで開設しました。そういう訳で、Blogの更新は会社からの帰宅後や土日曜日、休日ということになります。今日は、代休を取得しました。免許の更新のため、所轄の警察に行き、春休み中の子供の相手をし、冬物のスーツやコートをクリーニングの出しと、いつの間にやらもう夕方5時半です。仕事だと時間の経過が遅いですがね。

ところで、インターネットが急速に普及し始めた頃、盛んに「在宅勤務」とか「SOHO]というキーワードがマスコミで飛び交っていましたね。曰くインターネットが距離の壁を崩した、曰く在宅勤務でライフスタイルが変わる、曰く就業形態の根本的な変革だとか、まあ様々言われました。しかし、あれから幾星霜、そんなに変わったと感じられないのは、私だけでしょうか。未だに朝の通勤列車に乗り(時差出勤の普及で混雑は緩和されましたね。これは、変わりました)、会社で仕事をして、列車にのって帰宅で。たまに、帰りに一杯のむ、相変わらずです。「在宅勤務」、「SOHO」はどうなってしまったのでしょうか。

昨今の情報漏洩、殆どが勤務先のデータが自宅PCに感染したウイルスが原因でWinny経由で、というパターンですね。真面目な方が、自宅で仕事するために持ち帰ったデータが漏洩してしまう、また、在宅勤務のため社用PCを持ち帰ろうとして、紛失したり、盗難に遭うという事例もあります。悪気が無いだけに、考えようによっては遣り切れないものがありますね(勿論、不注意であることは間違いが無いのですが)。

このような状況なので、情報セキュリティの関係者では、在宅勤務は是か非かとまで言われています。その理由は、
 1 自宅までは、企業の情報セキュリティ上のコントロールが及ばない
 2 財産権等の問題があり、個人のPCに対する強制的な安全策がとれない
 3 情報資産など、自宅に持ち帰られた場合の各種リスク(盗難、火災等)
 4 自宅と勤務先の往復でのPCや情報資産の紛失、盗難の危険
 5 社員の家族の問題
 6 その他諸々

等々、自宅での仕事、在宅勤務はリスクが一杯です。例えば、私の貧宅の場合、甲斐性なしのなのでPCは家族で1台を共有です。業務上、機密性の高いデータは当然、家族にも秘する必要がありますが、共有PCでどこまで秘密を守れますか。Note PCを持ち帰ったとしても、持ち運び中のリスクがあります。
 1 想定されるリスクを許容できるか
 2 在宅勤務ではいといけないのか
 3 想定されるリスク、脅威、脆弱性に対する有効なコントロールがあるか
 4 情報セキュリティだけでなく、内部統制上の問題はないか
 5 当初の想定より広がらないのは、その他にも原因がないか
 6 その他諸々

在宅勤務に対する問題点の指摘としては、社員間のコミュニケーションの問題や就業時間の管理、指揮監督が難しいなど、当初から言われていました。ここにきて、情報セキュリティ上のリスクが指摘され始めました。

私見ですが、「在宅勤務」はリスクが大きく、有効なコントロールも見当たらないですね。止めましょうは言い過ぎかもしれませんが、その是非について、改めて議論する必要はあります。現段階では、少なくとも奨励はできないです。皆さんは、どう思われますか。

2006年4月4日火曜日

資格を維持するということ

CISA、CISM、CISSP、CAISは、試験に合格し認定されても安泰ではありません。資格維持の活動が要求されています。これは、当該資格に必要なスキル、知識を維持向上させ、質の高い資格制度にしようというのが、当該資格認定団体に共通した目的です。米国発祥の前三つだけでなく、CAISのように国内で制定される資格精度でも最近は資格認定維持に一定の条件を課すことは珍しくなくなりました。ITコーディネータやISMS審査員も同様です。

さて、資格維持の条件ですが4資格とも教育や研修等への参加時間や能力向上に資する活動をポイント(CPEと呼ばれます)に換算し、3年間で120ポイント、1年で最低20ポイントの確保を義務付けています。

4資格を認定する3団体のうち、有資格者にCPE獲得の機会を継続的に提供している団体は、手前味噌になりますがISACA東京支部/大阪支部/名古屋支部だけです。東京支部の場合、6月以外の月に月例会、年に3回程度の外国籍会員向けの英語セミナーを開催しています。1回参加すると2CPEになるので、全てに出席すれば、24CPE程度は確保できます。私はCISAとCISMを保持しているので、月例会で獲得してCPEを両方に充当します。東京支部会員は月例会に無料で参加できるので、月例会でCPEの大半を稼ぐことができます。私は、CISAとCISMを保持しているので、月例会で獲得したCPEをCISA/CISM双方に充当しています。

CAISを認定する日本情報セキュリティ監査協会(JASA)は、ISACA各支部で開催
している月例会のような定例のセミナーを行っていません。その代わりに、CAISの資格維持ポイントとして申請可能なセミナーを認定しています。ISACA
月例会もその対象となっています(但し、主任監査人を除く)。

CISSPも同様ですが、CPEの認定の詳細はわかりません。保持者の方に聞くと、ご他聞にもれず、苦労されているようですね。ISACAの月例会ポイントの対象になるのでしょうか。

複数の資格を保持している場合、この資格維持制度で苦労します。私の場合は、ISACA東京支部の月例会で獲得したCPEをCISA/CISM/CAISに充当できるので、助かっていますが、残りのポイントを別途確保しなければなりません。

’情報セキュリティプロフェッショナル(自称)のブログ’オーナーの長谷川さんとよく話すのですが(長谷川さんはCISSP/CAIS保持者です)、互いの資格維持に必要なスキル/知識に共通した事柄もあるので、条件を満たす他団体のセミナーへの参加をCPEとして計上できるように、各団体で便宜を図ることは重要ですね。他団体に排他的になっても益することはないですから。

いまのところ、ISACAとJASAは、複数の方が双方の役員を兼務しおり、またISACAがJASAの後援団体ということもあって、相互に月例会やセミナーの日程を連絡し合うなどの友好的な交流が続いています。

各種資格保持者が維持継続のために苦労しています。各団体のイベントの情報
交換し合い、条件が合えばそのイベントへの参加をCPEとして認めることで、
この苦労を少しでも軽減できればと思います。

CISA継続教育プログラム概要

CISM継続教育プログラム

CAIS資格維持プログラム

2006年4月2日日曜日

資格取得のモチベーション

情報セキュリティプロフェッショナル(自称)のブログのオーナーの長谷川さんにトラックバックしたいと思います。トラックバックする記事は、資格取得のモチベーションです。

現在所持している資格
 ①公認情報システム監査人(CISA)
 ②公認情報セキュリティマネージャー(CISM)
 ③ISMS審査員補
 ④公認情報セキュリティ監査人補(CAIS)

一番古いのは①です。②は2社目の会社で、③と④は昨年、現在の勤務先に転職して会社からの指示で取得しました。自発的意思で取得したのは①と②になります。

CISAは、当時勤めていたソフトウェアベンダーの元上司に薦めらました。当時会社では、メインフレーム中心の業態からオープンシステム中心へと急速に転換していました。私はメインフレームの運用管理やアクセスコントロール製品を主に担当していたので、そうした潮流の中で将来に対する備えとしての受験でありました。報奨金の制度がありましたが、

 受験コスト > 報奨金

だったので、報奨金目当てではなかったです。その後の資格維持のコストも掛かりますから、情報技術者試験のように資格維持制度が無ければ別ですが、一回だけの報奨金ではモチベーションになり得るかは疑問です。(情報技術者試験が資格試験かという疑問もありますが)

CISMは、転職後の取得です。CISMの制度が出来たばかりで、過去の経歴審査で取得できる特例制度グランドファザリングを利用しました。チャンスは逃すべからずと考えた訳です。この時の勤務先は、外資系のストレージメーカーで、この手の資格に対する報奨金制度はありませんでした。

ISMS審査員補とCAISは、現在の勤務先に転職後に会社の指示での取得です。講習の費用、申請料など全て会社負担でした。ちなみにCISA、CISMの資格維持に掛かる費用も会社負担です。

私の資格取得のモチベーションは、将来への投資ということですね。実際、現在の勤務先への転職は、CISAとCISMを保持していたことが大きく影響していますから、投資効果があったということになりますね。

資格維持のコスト負担を考えた場合、一回だけの報奨金より受験費用や維持コストの会社負担の方が有難いのではないのでしょうか。最初の会社の場合、報奨金だけで資格維持費用は個人負担でしたから、在籍した間にCISAを取得したのは3人だけでした。現在の勤務先は、受験料や維持に関する費用負担をしてくれるので、続々とCISA、CISM、CISSP、CAISの有資格者が増えています。ソフトウェアベンダーと情報セキュリティコンサルティング企業との違いもありますね。有資格者が増えるということは、企業としてのメリットが小さくないです。

報奨金の額にもよりますが、資格取得のモチベーションは、一時金だけではなく、取得した資格によってメリットがあるか、維持するコストには見合うものか等など様々な要素がありますね。

次回は、その資格維持制度について私見を述べたいと思います。なんせ、これで私も仲間も苦労していますから。

http://blogs.yahoo.co.jp/hase_sec/trackback/89885/1731276

2006年4月1日土曜日

現在、国内外の資格の取得が盛んになっています。そこで、資格について
考えてみたいと思います

システム監査関係
 公認システム監査人(CSA)     日本本システム監査人協会(SAAJ)
 公認情報システム監査人(CISA)   Information System Audit and Cntrol Association

情報セキュリティ監査関係
 公認情報セキュリティ監査人(CAIS) 日本情報セキュリティ監査協会(JASA)
 情報セキュリティ専門監査人    日本システム監査学会

情報セキュリティ専門家
 公認情報セキュリティマネージャ(CISM)
                  Information System Audit and Cntrol Association
 公認情報システムセキュリティ専門家(CISSP) (ISC)2

その他
 ISMS審査員            日本情報処理開発協会
 

その他にもプライバシーマーク関係とかもあるのですが、私見としては、上記資格とは色合いが違うと思います。同じ理由で、システム監査技術者も同様です。

いずれにしてもリスクを扱うことには相違はないのですが、では何が違うのか

システム監査関係 (CISA、CSA)
 対象は情報システム/IT、並びに関係するプロセスに対する監査
 下記、情報セキュリティ監査とは、情報システム/ITに関して相互補完
 関係にある。(情報セキュリティ監査の結果を利用することもある)

情報セキュリティ監査関係
 対象は情報セキュリティ並びに関係するプロセスに対する監査
 上記、システム監査とは、情報システム/ITに関して相互補完関係にある。
 (システム監査の結果を利用することもある)

情報セキュリティ専門家
 監査ではなく、企業/組織内での情報セキュリティの管理者、専門家。

各々の分野の相違は割りと明確だと思います。では、分野内の各資格の相違は
というと・・・・CISAとCSA、CAISと情報セキュリティ専門監査人には、正直
よく判りません。私自身は、CISAとCAISを取得しているのですが、CSAと情報
セキュリティ専門監査人は制度を良く知らないので、比較できません。
言えるのは、CISAとCAISは、保有者同士、認定団体同士の交流もあり、資格も相互補完的なので、双方を取得するメリットは感じます。逆に言えば、CISAとCSAを同時に維持するメリットは感じないということです。

CISMとCISSPの場合は、前者がどちらかというと情報セキュリティの維持管理やプロセスの運用に重きがあり、後者が技術的な実装面を重視しているという
印象があります。いずれにしても情報セキュリティの管理者には、必要な素養
であることには相違はないです。

では、どの資格を目指すべきか。以下は私見ですし、現在の状況を基にしています。将来は、変わることのあるこを前置きしておきます。

まず、既にCISAを持っている人は、CSAを同時に維持するメリットは少ないように思います。また、逆もまた然りです。双方とも資格維持制度があり、ほぼ同じ条件です。同じ分野の資格を維持するのにかかる労力やコスト負担を考えれば、どちらか一つを取得しておけば充分であろうと思います。

CAISと情報セキュリティ専門監査人ですが、上記と同じ理由で双方を同時に維持するメリットはありません。CISAやCSAであるならば相互補完的であるので、労力やコストを負担するメリットはあろうかと思います。

CISMとCISSPですが、同時に保持することについては上記と同じです。他の資格との相互補完を考慮すべきでしょう。

では、メリットのある組合せはなんでしょうか。

資格維持/労力面
 認定団体が同じですから、CISAとCISMが最もメリットがでます。例えば、ISACA東京支部の月例会に出席すれば、双方の資格維持のポイントにできます。

相互補完
 CISA/CSAのどちらかとCAIS/情報セキュリティ専門監査人どちらか
 CISA/CSAのどちらかとCISM/CISSPのどちらか
 CISM/CISSPのどちらかとCAIS/情報セキュリティ専門監査人のどちらか
 お互いにかぶらない組合せがいいのではないでしょうか。

コスト
 CISAとCSIMは、最もコストメリットがないかも。

私自信は、CISA/CSIM/CAISとISMS審査員補です。JASAとISACAは、双方の役員の兼務者も少なくなく、交流もあるのでメリットを感じています。ISMS審査員補は、まあ会社の費用負担なので、まあいいかなぁというところです。

どの資格が良く、どの組合せが一番ということは言えません。自分に必要な資格をメリットある組合せで取得しましょう、ということでないでしょうか。
曖昧で締りの無い結論ですね。 m(_ _;)m  あしからず

2006年3月28日火曜日

新しいBlogをリンクしました

リンクを追加しました。情報セキュリティプロフェッショナルさんのBlogです。このBlogのオーナーさんは、私の情報セキュリティ監査協会(JASA)の活動でお世話になっている方です。特に情報セキュリティ関係の資格制度、教育に関して深い見識をお持ちの方で、お会いするたびに勉強になっています。皆様も氏のBlogで見識を深めて下さい。

2006年3月25日土曜日

CISA/CISM合格者説明会

昨日の3月24日に日本教育会館でISACA東京支部主催のCISA/CISM合格者説明会が開催されました。私は出席しませんでしたが、多くの合格者の皆様が出席されたそうです。
この説明会で、CISA/CISM認定の申請や継続教育プログラム(CPE)、ISACA東京支部の活動などが説明されたはずです。その中で、今後の活動に関わり、重要なのがCPEです。CPEは、3年間で120ポイント、年最低20ポイントが必要です。
ISACA東京支部では、CPE獲得の機会を提供するために6月を除き月例会を開催しています。1回の月例会で2CPEに相当します。月例会と6月の月例会に全て出席すれば、20~24CPEを獲得できます。また、年に数回開催する英語セミナーもあり、概ね26~30CPEの獲得機会を提供しています。
月例会と英語セミナーは、支部会員は無償で参加できます。ビジターは\3,000なので、支部の年会費分は十分に元が取れます。
この機会にISACA東京支部への入会される事をお勧めいたします。

以前にもこのBlogに記載しましたが、私が参加したCISA合格者説明は、当時のCISA担当理事の勤務先に会議室の10人程の合格者集まり、ささやかなものでした。受験者も100人程度、合格者が10数人のでしたら出席率はよかったのですね。それが、合格者だけで100人近くになったのですから、合格者説明も様変わりをしたものです。

余談ですが、3月16日の月例会は多数の出席者が予想されたので、急遽会場を変更し、日本教育会館3階のホールで行いました。
申込者も当日の出席者も過去最高でした。
支部の活動に参加したのは、教育委員が最初でした。教育委員2年、教育担当理事2年、教育担当常務理事2年、再び教育委員を一年、そして2度目の教育担当理事となり、8年目に突入しています。私が参加し始めた頃の月例会は、理事や委員の勤務先の会議室であったり、公共の施設の会議室であったりと月毎に会場が変わっていました。また、参加者の20人程度で、有志による勉強会という趣でした。その後、会場は中央大学駿河台記念館を継続的に使用する期間が数年続きました。同記念館の改装の都合で、別の会場を一年程度使用し、現在日本教育会館に至りました。同会館は以前からISACA東京支部の総会を開催してました。
CISA/CISM合格者の増大と支部会員の大幅な増加、それに伴い月例会参加者も増え、参加申込を定員で締切ることはしたくないのですが、2月の月例会のように3日で定員に達してしまうこともあり、月例会会場選びは悩ましい問題です。私が常務理事の時に、会員サービス向上のために、それまで1,000であった参加費を無償にしたあたりから参加者が増え始め、その後の支部会員の増加が重なって現在の盛況に結びついたのでしょうね。かつての月例会を思うと隔世の感です。

2006年3月21日火曜日

Winnyとは・・・

 連日、Winnyによる情報流失のニュースが報道されています。相変わらず、重要情報秘密情報を自宅PCの保存して、ウイルスによってWinnyを通じて流失するパターンです。もうWinnyのニュースは、Blog話題にもなりませんね。

 他のファイル交換ソフトでは問題はないのでしょうか。報道されないだけなのでしょうか。このことは詳しい識者の教えを請いたいと思います。ご存知の方、コメントを寄せて頂くと幸いです。

 まあ、Winnyに問題があることは明々白々ですね。Winnyの作者は、著作権法違反の幇助で逮捕起訴され、現在公判中です。以下は、読売新聞のWebからの引用です。

危険性ない“新ウィニー” 元東大助手のXX告開発
 ファイル交換ソフト「Winny(ウィニー)」を開発してインターネット上に公開、著作権法違反ほう助罪に問われた元東京大大学院助手金子勇被告(35)の第21回公判が20日、京都地裁(A裁判長)で開かれた。

 弁護側は、ウィニーで問題視された著作権侵害の危険性を解決した新しいファイル交換ソフト「オズテック」を金子被告が開発したことを明らかにした。

 弁護側は「ウィニーはあくまでも技術的な視点で開発した。新ソフトはその応用にあたる」と述べた。

 弁護側によると、XX被告は一昨年6月の保釈後、国内のIT関連企業と共同で新ソフトの開発に着手。管理システムを強化し、利用者を制限することで著作権侵害を防ぐことができるといい、今年5月末には商品として発表するという。

��2006年3月21日2時43分 読売新聞)



 「著作権侵害の危険性を解決した」ということは、Winnyの問題点を認識しているということでしょうか。この被告と弁護団、一連のWinnyの騒動に対して、「Winnyに問題はない」とか「この事件を無罪にすれば問題解決に協力する」とかのコメントを出していました。

 確かに、Winnyの技術的瑕疵だけが原因ではなく、流失元の諸組織の情報セキュリティ対策、情報管理策、コンプライアンスなどにも問題がありますし、自宅に情報を持ち帰った人達の油断、不注意なども原因です。
自宅に仕事を持ち帰るとうことの是非、論じられるべきですね。企業の情報セキュリティの枠外にある自宅PC。そのリスクを考えるとき、情報の持ち出しになる自宅への仕事持ち帰りも当然にリスクを伴うのだという認識が必要です。

 自衛隊や警察、自治体、官庁からの流失の一因として、PCなどの機器の整備が充分ないことありますね。そこで、個人PCの持込と業務での使用を許しているようです。しかし、個人PCというのは組織の情報セキュリティ政策の完全な統制下におけません。例えば、個人の財産であるPCを中古として売却せず、記憶装置は破砕処理することなどは強制できません。個人PCの使用者から誓約書をとるだけでなく、やはり必要な機器を整備し、組織の統制下におくことも必要です。

 しかし、Winnyが技術的に不完全であるのは、疑いはありません。
「ウィニーはあくまでも技術的な視点で開発した。新ソフトはその応用にあたる」ということですが技術的に問題のあるWinnyの応用で本当にいいのでしょうか。大いに疑問があるところです。

 著作権法違反事件については、支援団体も組織され、無罪主張を支持する声も多いようです。有罪無罪をこのBlogで論じるつもりはありません。しかし、元エンジニアとしては、技術的に瑕疵のあるWimmyを広げてしまったことには道義的に問題はあろうと思います。皆様は、どう思いますか?

2006年3月11日土曜日

ウィニー対策

警察の捜査情報、自衛隊の防衛機密、地方自治体や官庁の行政関係情報などなど、個人用PCからウィニーを介在しての重要情報の漏洩が相次いでいます。殆ど全てと言っても差支えない程に同じパターンです。
 職場のコンピュータ
  ↓  
  個人のPC
   ↓
  ウィニーへのウイルス感染
  ↓  
  ウィニーからの情報漏洩


 何故、これほどまで同じような漏洩事故が続くのでしょうか。 ①職場で個人のPC使用せざる得ない状況 ②自分は大丈夫たという油断 ①の状況解決のために防衛庁が、下記に引用した記事の対策を発表しました。以下は読売新聞Webからの引用です。  



情報流出防止、防衛庁が官費でパソコン7万台支給へ 額賀防衛長官は8日の参院予算委員会で、海上自衛隊の秘密情報流出の再発防止策として、自衛隊員が職場に持ち込んでいる私有パソコンを一掃するため、パソコン約7万台を官費で購入し、隊員に配布する方針を明らかにした。  2005年度予算の通信機器購入費などを工面して約40億円を支出し、3月中に契約する予定だ。  額賀長官は「陸上自衛隊で6万台、海上自衛隊、航空自衛隊で計1万台近くは全部、防衛庁の方で供給する」と述べた。  海自の情報流出は、秘密情報を取り込み、ファイル交換ソフト「Winny(ウィニー)」を介して、隊員の私有パソコンから外部に流出したとされる。  自衛隊の部隊では官品のパソコンが不足しており、私有パソコンを持ち込むケースが多い。防衛庁によると、昨年11月現在、許可を受けて職場に持ち込まれたパソコンは、陸自で約6万台、海自で約2000台、空自で約5000台に上る。 (2006年3月8日20時31分 読売新聞)


このPCの購入で、個人PCを使用せざるえない状況を一掃するのが目的です。(PCの調達は当然に入札でしょうが、談合などないようにして頂きたいものです)。個人所有の機器へのリスク対策が必要になってきということなのでしょうね。 同じく読売新聞Webからの引用です。

ウィニー対策で全職員に誓約書提出求める…愛媛県警 ファイル交換ソフト「Winny(ウィニー)」の暴露ウイルスが原因で愛媛県警の捜査資料がネット上に流出した問題で、県警は10日、全2700人の職員を対象にウィニーなどファイル交換ソフトを使わないことや、公務で使う私物パソコンを無許可で庁外に持ち出さないことなど3項目を盛り込んだ誓約書を直ちに提出するよう求めたと発表した。  また、県警は同日、幹部級職員を集めた会合で、私物パソコンでウィニーを使っていないかどうか確かめるため、幹部が職員の自宅を直接訪れてチェックするなどの対策案を明らかにした。 (2006年3月11日0時48分 読売新聞)


愛媛県警本部は、自分は大丈夫だという思い込みに対して、ウィニーを直接排除することを目的としているようです。 民間企業も職場内で個人PCの使用やネットワークへの接続禁止、USBメモリー/CD-RW/DVD-RWなどの可搬記憶媒体の規制など、職場内での個人機器に対して、何らかの対応をしているようです。情報セキュリティ上の新たな課題なのですが、だったらi-Podを使ったらいけないのか、PDAをどうするとか、頭の痛い問題ですね。今後暫くは試行錯誤なのでしょうね。

2006年3月8日水曜日

はやぶさ 通信復旧

日本の小惑星探査衛星「はやぶさ」ですが、地球への帰還が絶望視されていましたが、なんとか通信が復旧したとのこと。予想以上の重症だったようですが、地球への帰還への望みが無きにしも非ずのようです。 地球へ送信された観測データだけでも、画期的な成果なのですが、なんとか地球に帰還して欲しいものです。 以下は、朝日新聞のWebからの引用です。

「はやぶさ」の通信が復旧 燃料漏れは予想以上 2006年03月07日21時46分 宇宙を飛行する「はやぶさ」の想像図=宇宙機構提供  小惑星イトカワへ着陸後の昨年12月から、地球との交信が途絶えていた探査機「はやぶさ」について、宇宙航空研究開発機構は7日、「通信が回復し、現在位置や機体の状態などを把握できた」と発表した。ようやく息を吹き返したはやぶさだが、発生した燃料漏れが予想以上の規模だったこともわかった。宇宙機構は今後、地球への帰還を目指した運用を進める。  はやぶさは現在、地球から約3億3000万キロ離れて飛行中だ。約3カ月ぶりに正確な位置が把握された。イトカワからは約1万3000キロ離れている。  はやぶさから微弱な電波が届いたのは1月末。昨年末に起こった姿勢の乱れが収まってきたためらしい。その後、姿勢制御に使う化学エンジンが故障しているため、航行用のイオンエンジンの推進剤であるキセノンガスを噴射し、アンテナを地球に向けて通信を安定させることに成功した。  2月末から入手できるようになった機体のデータを分析した結果、電源バッテリーが故障し、化学エンジンの燃料は全部なくなったことが明らかになった。姿勢制御にも使えるキセノンガスは約42~44キロ残っていた。  プロジェクトマネジャーの川口淳一郎教授は「通信の回復は地球帰還の最低条件だった。地球に帰れるだけのキセノンガスはある。予定通り10年6月の帰還を目指したい」と話した。


イオンエンジン、遠隔制御システム、自律航行/制御システム、軌道計算のノウハウ、惑星にの引力を利用するスイングバイ等々、有人宇宙探査とは異なる宇宙開発上の成果をもたらした衛星です。諦めず、あと4年3ヶ月、待ちましょう。それまで、このBlogは続いているのでしょうか(笑) 

2006年2月25日土曜日

Re: タイトルなし

海上自衛隊の護衛艦から情報が漏洩しました。護衛艦のPC → 海自隊員のPC → winny経由で漏洩 という、お決まりのパターンです。以下は、産経新聞のWebからの引用です。

海自「秘」データ、「ウィニー」通じ流出

 自衛艦コールサインや戦闘訓練の内容など「秘」扱いのものを含む海上自衛隊のデータが、大量にファイル交換ソフト「ウィニー」を通して流出、インターネット上で閲覧できる状態になっていたことが23日、海自の調べで分かった。
 海自佐世保基地の護衛艦「あさゆき」の隊員が使っていた私用パソコンに、これらの「秘」扱いのデータを入力していたところ、ウイルスに感染したとみられる。
 海自は「私用パソコンの管理を徹底させるが、流出したデータが大量ですべての確認作業を終えていない」としている。
 流出したデータには「秘」扱いとされる自衛艦のコールサインや監視活動の記録、戦闘訓練の計画表などが含まれていた。「あさゆき」の隊員数十人分の住所や家族構成などの個人情報もあった。
 自衛隊ではこれまでウィニーを通じて自衛隊病院の患者データなどが流出したことがある。(共同)
(02/23 08:55)



海自情報、ネット流出 Winny経由か 暗号や隊員名簿

 海上自衛隊の暗号関係の書類や緊急時の電話番号、隊員の名簿などの秘密情報がネット上に流出している可能性が高いことが二十三日分かった。海自は「『秘』情報が漏洩(ろうえい)している可能性がある」として、額賀福志郎防衛庁長官と首相官邸に報告するとともに、事実関係の調査を始めた。
 海自によると、十六日にインターネット上の掲示板で「海自の秘密情報が漏れている」との書き込みがあることをきっかけに内部調査したところ、「秘」扱いとされる自衛艦のコールサインや監視活動の記録、戦闘訓練の計画表などが流出していた。護衛艦「あさゆき」(佐世保)の隊員数十人分の住所や家族構成などの個人情報も含まれていた。
 「あさゆき」の通信関連の隊員が関係しているとみられ、この隊員のパソコンからファイル交換ソフト「Winny(ウィニー)」を通じて各種情報が流出したらしい。
 海自の内部でシステムで結ばれている職場のパソコンは、ウィニーのインストールや情報のダウンロード、所持、アクセスなどが厳しく監視されているため、各種情報はこの隊員個人のパソコンに入力されていたとみているが、個人のパソコンに秘密情報文書や個人情報をデータ保存することは禁止されているという。                   ◇

【用語解説】Winny(ウィニー)
 インターネット上で映画や音楽などをダウンロードでき、複数のパソコン利用者の間でデータの交換が可能なファイル共有ソフト。日本で開発された。誰が違法コピーしたか分からず、匿名性が高い。利用者のパソコンがウイルス感染し、内部に保存された情報が流出する問題が起きている。
(02/23 15:55)



業務PC机に固定 記録媒体も一元管理

 海上自衛隊の秘密情報がインターネット上に流出した問題で、防衛庁の再発防止策が二十四日、分かった。業務用データを扱うノート型パソコンの持ち出しを禁じるためワイヤで机に固定することや、私物のパソコンによる秘密情報の取り扱いを全面禁止することなどを盛り込んだ。業務用データを保存したCD-R(書き込み可能なCD)などは私物も含め一元管理して持ち出しを許可制にし、情報漏洩(ろうえい)防止などの教育も徹底する。
(02/23 05:00)



Winny経由の情報流失、漏洩。相変わらずだなぁ~ としか言えませんね。
PCの机への固定、CD-Rなどは私物も含め一元管理ですか。しかし、普通に考えたら私物の可搬記憶媒体、私物のCDやDVD、USBメモリーなどは使用禁止、持込禁止じゃないでしょうか。民間企業では、私物の可搬記憶媒体を禁止しているケース、ありますから。これ、ちょっと疑問です。もうちょい、厳しく徹底してもらいたいですね。防衛上の機密を扱っている訳ですから。

2006年2月24日金曜日

SOX法

2月22日にISACA東京支部の月例会が開催されました。テーマは、「SOX法シリーズ(その1)・・・IT関連の対応について」と題して行ったのですが・・・
参加申込を開始してから3日目で定員に達してしまい、受付を締切らざるを得ませんでした。参加を断念された方、申し訳ございませんでした。

しかし、改めてSOX法に対する関心の高さを実感した月例会でありました。来月は、その2を行います。今から戦々恐々です。

2006年2月19日日曜日

CISA/CISM試験合格者説明会

 2006年3月24日にCISA/CISM試験合格者説明会が、千代田区一ツ橋の日本教育会館で開催されます。前回の試験でも、多くの方が合格されたようです。この合格者説明会では、CISA/CISM認定申請のことや今後のCPE(継続教育プログラム)のことなどの開設がありますので、合格者の皆様は是非出席されることをお勧めします。
解説の後には、懇親会も予定されています。この会で、名刺交換などしていただき、今後の活動の人脈として生かしてください。私もISACA関係の繋がりで、色々と助かることが多いですね。

CISA/CISM試験合格者説明会

 今後は、毎月の月例会や総会など、今後のISACA東京支部の活動にも参加され、皆さんの交流をより広めていただければと思います。

 CISA/CISM試験が年2回開催になり、ISACA東京支部のCISA委員会、CISM委員会の皆さんも、試験説明会/立会い、合格者説明会も年2回の開催となり、その間にレビューマニュアルの翻訳など、一年を通して忙しく活動しています。改めて、そのご苦労を慰労したいと思います。ご苦労様です。

Logo.gif


2006年2月18日土曜日

運輸多目的衛星

なんとも久し振りの更新です。コメントを寄せられた時にレスするだけで、一ヶ月以上ご無沙汰でした。
それで、久し振りの話題ですが、本日打ち上げに成功した運輸多目的人工衛星MTSAT-2についてです。以下は、2006年2月18日の産経新聞のWebからの引用です。

宇宙航空研究開発機構は18日午後3時27分、運輸多目的衛星2号機を搭載したH2Aロケット9号機を鹿児島県の種子島宇宙センターから打ち上げた。

 ロケットは打ち上げの約28分後、太平洋上高度約300キロで衛星を分離、予定の楕円(だえん)軌道に投入し、打ち上げは成功した。

 運輸多目的衛星2号機は、国土交通省と気象庁が運用する静止衛星で、昨年打ち上げた1号機「ひまわり6号」の予備、後継機。赤道上東経145度の静止軌道で、気象観測と航空管制を担う。順調なら打ち上げから約5日半で、高度約3万6000キロの静止軌道まで上昇。搭載機器の機能確認を経て、「ひまわり7号」と命名される予定。

 気象観測業務では、1号機が不調な場合に代わって観測に当たるほか、2010年予定の1号機の運用終了後には後継機となる。また、航空管制では東経140度の1号機と2機体制で洋上の航空機の位置確認などに活用される。

 H2Aは1月に8号機を打ち上げたばかりで、これで3回連続の成功。21日にはM5ロケット8号機の打ち上げも予定されており、国産ロケットの連続打ち上げは順調に進んでいる。



情報セキュリティのBlogなのに、今までも日本の宇宙開発関係の話題を取り上げてきましたが、今回もその路線です。とは言っても全く関係ないと言うことでもないのです。根気は、「バックアップ」がキーワードです。
今回の衛星は、昨年打ち上げられたMTSAT-1Rこと「ひまわり6号」と一緒に航空管制に用いられる他に、気象観測では’バックアップ’機となります。引用した記事にもあるように、ひまわり6号の故障時の代替機であると同時に寿命に達した時には直ちに後継機になります。これは、実用衛星科学観測衛星など日本の人工衛星では初めての体制です。
金融機関などは、ホットスタンバイのシステムを容易して、システムダウン時もシステムの継続性を確保しています。気象観測でも、これで、継続的気象観測体制が初めて整備されたことになります。私は、運用管理系のソフトウェアエンジニア出身なので、このバックアップ機という考え方に共感すること大です。バックアップは、不測の事態が起きたときの備えです。ですから何事もなければ、不必要と言われかねません。MTSAT-2は、バックアップであると同時に後継機であり、二重の役割を負っています。これは、投資の有用性を向上させたと、私は思います。
全てのシステムが、バックアップ機を用意し、ホットスタンバイ体制/継続性を整備する必要がありません。しかし、気象観測/航空管制という重要な機能でホットスタンバイ体制が確率したことは、国民生活にとってもメリットが大きいですね。
ひまわり5号の後継機の打ち上げが、H2Aロケットの打ち上げ失敗などで、延期続きで、一時は米国の中古の気象観測衛星を借用するという苦い経験をしました。これで、世界でも最新で最も高性能の気象観測衛星を持ち、しかもバックアップ体制継続体制もも整ったということは、画期的なことです。

情報セキュリティ、システム監査の観点からもバックアップや継続性というのは、大切な概念です。重要な社会的インフラともいえる情報システムを抱える企業や自治体、団体にも参考になる出来事だと思います。

(これからは、もう少し頻繁に更新します。では、これからも宜しくお願いします)

2006年1月5日木曜日

USBメモリーの紛失

以下は、2006年1月5日に夕刊フジのHPからの引用です。

胸ポケに入れて帰宅し県職員、データ入りメモリー紛失

 長野県は5日、松本地方事務所の税務課職員が、自動車税や法人事業税など県税に関する個人や法人の計2111件分のデータを記録したパソコン用USBメモリーを紛失したと公表した。

 県によると、住所、氏名や滞納状況などのデータが含まれていた。職員が12月20日、自宅で残務処理をするため、ワイシャツの胸ポケットにメモリーを入れて帰宅する途中で紛失した。

 職員は交番に紛失を届けたが、県には報告しなかった。4日に外部から情報提供があり発覚。メモリーは見つかっていないが、データの流出は確認されていないという。

ZAKZAK 2006/01/05



最近は、Note PCの紛失や盗難に対する対策やリスクコントロールについては、色々と声高に唱えられるようになりました。持ち運び制限やデータの暗号化、個人PCの使用禁止、シンクライアント等々。
しかし、上記の記事にあるようにUSBメモリーのリスクもかなり高いと思います。
FDと違って大容量、CD-RWやDVD-RWと違ってデータ保存が簡単、持ち運び容易です。ということは、大容量のデータがいとも簡単に持ち運びできる、つまり大量のデータの漏洩や紛失のリスクが高いということです。CD/DVDのドライブを使用禁止にしている事例は珍しくありません。FDは、ドライブそのものが内臓から外付けになり、使わせないケースが多いです(記憶容量が小さいので、その意味でも既に過去のメディアでしょうね。
USBのポートは、最近はUSBマウスが主流のせいか、以外に制限が緩いようです。しかし、記憶メディアとしてのリスクを考えると、FDやCD/DVD等よりも大きいのは明らかでしょう。USBメモリー、リスクアセスメントと適切なコントロールが必要です。個人的には、原則として使わせない、もしくは使途を限定することが必要だと思います。皆さんのご意見は如何でしょうか。
 

2006年1月1日日曜日

謹賀新年

04l.jpg


新年明けましておめでとうございます。昨年、当Blogを開設以来、更新が滞りがちにも関わらず、多くの方に参照して頂きました。本年も旧年同様に当Blogを宜しくお願い申し上げます。
皆様のご多幸を祈念致します。

平成18年元旦
管理人